Desktopversie Telegram lekte ip-adressen bij gesprekken
De desktopversie van de versleutelde chatapplicatie Telegram bevatte een bug waardoor de ip-adressen van gebruikers lekten bij het bellen. Telegram maakt voor personen in het adresboek standaard gebruik van een peer-to-peer-verbinding voor het opzetten van een gesprek.
De beller maakt hierbij direct verbinding met de ontvanger. Dit moet voor een betere kwaliteit van de verbinding zorgen. Hierbij kunnen de personen die aan het gesprek deelnemen wel elkaars ip-adres in de Telegram console log zien. De mobiele apps van Telegram bieden gebruikers echter de mogelijkheid om gesprekken via de servers van Telegram te laten lopen. Op deze manier kunnen deelnemers aan het gesprek elkaars ip-adressen niet zien, hoewel dit ten koste van de gesprekskwaliteit kan gaan.
Beveiligingsonderzoeker Dhiraj Mishra ontdekte dat Telegram Desktop (tdesktop) en Telegram Messenger voor Windows geen optie bieden om peer-to-peer-gesprekken uit te schakelen. Zodoende was het ip-adres van de beller altijd zichtbaar voor de ontvanger. Telegram heeft nu Telegram Desktop 1.40 uitgebracht waarin het probleem is verholpen. De onderzoeker ontving van Telegram 2.000 dollar voor zijn melding.
Waar zijn de shasums om te controleren of de download wel veilig is verlopen?
https://github.com/telegramdesktop/tdesktop/releases/tag/v1.4.0
En waar staat chat voor?
Praten of typen?
Als dat het laatste is, waarom noemen we een typproces praten?
Staat typing dan voor praten?
Is Skype dan een type-client.
En als skype de patientklant is, wat ben ik dan en die ander aan de aandere kant?
Telegram doet aan telegrafie, je kan er helemaal niet mee bellen.
Noem het dan ook geen kletsenpraat software.
En noem het niet veilig als je de download niet eens kan controleren en dus geen idee hebt wat je nou eigenlijk op je systeem loslaat!
artikel is dus correct, het is idd versleuteld, tis client to server encryptie, geen end to end, maar dat word hier ook niet geclaimt, gewoon dat de verbinding is versleuteld.
Hoe het werkelijk zit: https://mvwoensel.com/telegram-lekte-ip :-)
Jups, versleuteld. Het feit dat Telegram bij een niet-secret chat over de sleutel beschikt, maakt het nog niet onversleuteld. Alleen niet E2E.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
