O pesquisador de segurança Denis Simonov, também conhecido como n0a, revelou uma vulnerabilidade no popular aplicativo de mensagens Telegram que permite o vazamento do endereço IP do usuário durante uma chamada se ele adicionar um contato hacker e aceitar uma chamada deles.
O pesquisador demonstrou essa vulnerabilidade ao TechCrunch, adicionando sua conta aos contatos do Telegram e, em seguida, realizando uma chamada, fornecendo ao TechCrunch o endereço IP do computador onde o experimento foi conduzido.
O Telegram, com 700 milhões de usuários em todo o mundo, sempre se apresentou como um aplicativo de mensagens “seguro” e “privado”, embora especialistas tenham advertido que não é tão seguro quanto aplicativos criptografados de ponta a ponta, como o Signal.
Embora a questão do Telegram vazar endereços IP durante chamadas seja conhecida há anos, é possível que usuários novos e menos técnicos não estejam cientes disso.
Denis Simonov, que trabalha para a empresa de segurança cibernética T.Hunter, ressaltou que, para se manter seguro, é fundamental que os usuários compreendam as nuances do funcionamento das chamadas de voz no aplicativo.
A razão pela qual o Telegram vaza endereços IP durante chamadas é que o aplicativo utiliza uma conexão ponto a ponto entre os chamadores por padrão, buscando melhor qualidade e menor latência. Isso exige que ambas as partes envolvidas conheçam o endereço IP uma da outra, uma vez que é uma conexão direta. Para chamadas com não contatos na lista, o Telegram roteia as chamadas através de seus servidores para ocultar os endereços IP.
Para evitar o vazamento do endereço IP, os usuários podem acessar Configurações do Telegram > Privacidade e Segurança > Chamadas e selecionar a opção “Nunca” no menu Ponto a Ponto.
Esta vulnerabilidade também foi observada em outros aplicativos de mensagens e chamadas, incluindo o WhatsApp e o Skype. O Telegram, entretanto, acredita que esse é o funcionamento correto do aplicativo.
