ثغرة في تطبيق تيليغرام تتسبب بكشف IP المستخدم

أطلقت تيليغرام تحديثًا جديدًا لتطبيقها على سطح المكتب بالأمس، لكن على ما يبدو أن التحديث لم يكن متكامل بالشكل المطلوب بالنسبة للمستخدمين لولا مبرمج هندي، حيث أن ضراج ميشرا اكتشف ثغرة في التطبيق قامت الشركة بالتغلب عليها في النسخة الأخيرة 1.4، وكانت تتسبب في تسريب برتوكول الانترنت الخاص بالمستخدم IP.

الثغرة كانت متواجدة بنسخة سطح المكتب على ويندوز، ماك، ولينوكس. وتقوم على إظهار برتوكول الانترنت عند اجراء مكالمات صوتيه في حالة عدم وضع خيار “لا أحد” أو ” Nobody” عند ضبط المكالمات الصوتية المباشرة ” peer-to-peer”. حيث أنه في الوضع الطبيعي، يكون الضبط على جهاز الاتصال “My Contacts” مما يعني أن جهات الاتصال يمكنها الوصول للمعلومات، أي أنه في حال لم يضع المستخدم خيار ” Nobody” فإن بروتوكول الانترنت لكلا المستخدمين سيظهر أثناء المكالمة.

ويأتي ذلك كون اتصال الند للند أو peer-to-peer المستخدم في إجراء المكالمة المباشرة ليس مشفرًا بشكل ذاتي، مما يجعله يُظهر هوية المستخدم وهو ما يهدد بعض المستخدمين الذين يجدون في التطبيق ملاذًا للخصوصية، لأن الأمر يمكن أن يتوسع للحصول على معلومات مختلفة من خلال الثغرة.

وبالطبع يمكن التغلب على هذا الأمر من خلال ما تغيير الخيار إلى “Nobody” لكنه سيتسبب في ضعف جودة الصوت أحيانًا.

وقد قامت تيليغرام بعد كشف الثغرة بمنح الهندي ضراج ميشرا مبلغ 2,000 يورو لإيجادها.