Roberto Naccarella
Inoltre, gli utenti non avevano la possibilità di disattivare la funzionalità che potrebbe potenzialmente renderli vulnerabili agli attacchi informatici. Tuttavia, secondo quanto riferito, Telegram ha corretto il bug nei suoi ultimi aggiornamenti. In particolare, il team di sicurezza della compagnia ha assegnato al ricercatore una somma di 2000 euro per aver segnalato il bug nell’app.
Si tratta di Dhiraj Mishra: secondo il ricercatore, infatti, il bug stava causando la fuoriuscita di indirizzi IP pubblici e privati durante le chiamate vocali su un framework P2P (peer-to-peer). Mentre gli utenti di smartphone hanno la possibilità di disattivare le chiamate P2P cambiando le impostazioni ad altre opzioni andando su Impostazioni> Privacy e sicurezza> Chiamate> Peer-to-Peer, non c’era alcuna opzione disponibile per gli utenti di Telegram sul desktop.
La funzione di chiamata vocale in Telegram si attiva stabilendo una connessione P2P diretta tra gli utenti, ovvero con uno scambio di pacchetti di dati. Tuttavia, pare che questa tipologia di connessione esponga gli indirizzi IP degli utenti a possibili attacchi da parte degli hackers.
La società sembra aver risolto il problema con la distribuzione delle versioni 1.3.17 beta e 1.4 di Telegram aggiungendo l’opzione “Nessuno” nelle sue impostazioni del client desktop. La perdita di indirizzo IP ha ricevuto l’identificatore di vulnerabilità CVE-2018-17780 e, come già accennato, la società ha premiato Dhiraj Mishra per il suo “bug report”.
