Uma brecha na versão para desktops do Telegram fazia com o aplicativo vazasse os endereços públicos e privados de IP dos usuários em chamadas de voz. A falha na estrutura P2P do serviço, identificada como CVE-2018-17780, foi descoberta pelo pesquisador Dhiraj Mishra e afeta o aplicativo para Windows, Mac e Linux. Uma correção já foi disponibilizada.
O problema acontece porque as ligações via Telegram são feitas por meio de conexões peer-to-peer (de ponta a ponta, ou P2P), que normalmente não são privadas e deixam o IP exposto. No caso do app, até é possível esconder contornar isso e esconder os endereços selecionando a opção “Nenhum” em “Configurações”, “Privacidade e Segurança” e em “Chamadas”. Só que essa solução não estava disponível na versão para desktops.
A vulnerabilidade é preocupante porque o aplicativo tem foco justamente em privacidade e segurança – o que significa que, não raro, ele é usado por quem precisa disso. Para se aproveitar dela, bastava fazer uma chamada e esperar a pessoa atender.
Uma reportagem do ZDNet sobre o assunto lembrou de um caso recente no Irã que deixou bem claros os riscos de uma brecha assim. Em 2016, um grupo de hackers apoiado pelo regime usou uma falha similar a desta semana para identificar o número de telefone de 15 milhões de iranianos que usavam o aplicativo. O governo, então, pôde atribuir os nomes de usuários às pessoas reais que os utilizam no serviço de mensagens.
De toda forma, a falha já foi corrigida pelo Telegram, que agora oferece o recurso para esconder os endereços IP também na versão para desktops. Mishra, que descobriu o problema, ganhou uma recompensa de 2.000 euros por ter relatado a brecha à empresa.