P2P 연결 시 IP 주소 노출되는 치명적인 프라이버시 침해 취약점
새로운 옵션 추가함으로써 문제 해결...발견자는 2천 달러 상금 타
[보안뉴스 문가용 기자] 텔레그램 데스크톱 버전에서 취약점이 발견됐다. 이 때문에 최종 사용자의 공공 및 비밀 IP 주소가 통화 중에 유출될 수 있다고 한다.
[이미지 = iclickart]
텔레그램은 클라우드 기반의 메시지 앱이자 음성 통신 서비스로, ‘프라이버시를 강력하게 지켜주는 앱’이라는 인식 때문에 사용자들 사이에서 높은 인기를 구가하고 있다. 메시지들에 대한 암호화는 매우 두텁고 철저하게 적용되어 있으며, 심지어 자동 파괴 기능도 가지고 있을 정도다. 그런 텔레그램에서 IP 유출 취약점이 발견된 것이다.
이 취약점에는 현재 CVE-2018-17780이라는 번호가 붙었다. 텔레그램 데스크톱 혹은 tdesktop 1.3.14 버전과 윈도우용 텔레그램 3.3.0.0 WP8.1 버전에서 발견된 것으로, ‘내 연락처(My Contacts)’ 목록에 없는 클라이언트와 P2P 연결이 성립될 때 나타난다고 한다. 특히 이 경우의 디폴트 설정에 문제가 있다는 것이 밝혀졌다.
이를 제일 먼저 발견한 건 보안 전문가 디라지 미시라(Dhiraj Mishra)로, “텔레그램 클라이언트가 디폴트 환경에서 P2P로 연결되어 있는 상태에서 통화를 시작하면 사용자의 IP 주소가 노출되는 현상이 있었다”고 발표했다.
Settings -> Privacy and security -> Calls -> peer-to-peer 설정을 차례로 선택해가면 더 많은 연결 옵션을 선택할 수 있지만 tdesktop과 윈도우용 텔레그램에서는 peer-to-peer -> nobody와 같은 옵션이 존재하지 않는다. “바로 이 점 때문에 프라이버시 문제가 발생하는 것”이라고 미시라는 설명했다.
미시라에 의하면 사용자의 IP 주소가 노출되는 문제는 안드로이드용 텔레그램에도 존재한다고 한다. “안드로이드 버전에서 이 문제를 겪지 않으려면 Settings -> Privacy and security -> Calls -> peer-to-peer -> nobody로 설정을 해두면 됩니다. 즉 안드로이드 버전에서는 위험으로부터 빠져나갈 여지가 있습니다.”
tdesktop에 있는 취약점을 발동시키려면, 텔레그램 데스크톱을 시작하고 다른 사용자에게 전화를 걸기 시작하면 된다. 그러면 클라이언트가 IP 주소를 노출시킨다.
사실 이 문제는 전화가 걸려 들어올 때조차 드러난다. 전화를 거는 사람의 공공 및 비밀 IP 주소가 로그에 고스란히 노출되는 것이다. 이 문제는 통화가 윈도우폰으로부터 걸려왔을 때도 동일하게 나타난다고 한다.
“IP 주소를 감추는 데 사용되는 MT프로토 모바일 프로토콜(MTProto Mobile Protocol)이 전혀 적용되지 않은 모습입니다. 이런 정보는 OSINT 활동에 잘못 사용될 수도 있습니다. 얼른 고쳐져야 할 문제입니다.”
미시라는 이 문제를 텔레그램 측에 알렸고, 텔레그램은 데스크톱 버전 1.3.17 베타와 1.4.0 버전을 내놓음으로써 이를 해결했다. peer-to-peer 옵션에 Nobody, My contacts를 추가한 것이었다. 미시라는 이 취약점을 보고함으로써 2천 3백 달러를 상금으로 받았다.
3줄 요약
1. 암호화가 강력한 게 자랑인 텔레그램. 데스크톱 버전과 윈도우용 버전에서 취약점 나옴.
2. 전화를 걸 때나 받을 때, 상대의 IP 주소가 노출되는 취약점임.
3. 텔레그램 측은 이 부분을 해결할 수 있게 해주는 옵션을 추가했음.
[국제부 문가용 기자(globoan@boannews.com)]
새로운 옵션 추가함으로써 문제 해결...발견자는 2천 달러 상금 타
[보안뉴스 문가용 기자] 텔레그램 데스크톱 버전에서 취약점이 발견됐다. 이 때문에 최종 사용자의 공공 및 비밀 IP 주소가 통화 중에 유출될 수 있다고 한다.
[이미지 = iclickart]
텔레그램은 클라우드 기반의 메시지 앱이자 음성 통신 서비스로, ‘프라이버시를 강력하게 지켜주는 앱’이라는 인식 때문에 사용자들 사이에서 높은 인기를 구가하고 있다. 메시지들에 대한 암호화는 매우 두텁고 철저하게 적용되어 있으며, 심지어 자동 파괴 기능도 가지고 있을 정도다. 그런 텔레그램에서 IP 유출 취약점이 발견된 것이다.
이 취약점에는 현재 CVE-2018-17780이라는 번호가 붙었다. 텔레그램 데스크톱 혹은 tdesktop 1.3.14 버전과 윈도우용 텔레그램 3.3.0.0 WP8.1 버전에서 발견된 것으로, ‘내 연락처(My Contacts)’ 목록에 없는 클라이언트와 P2P 연결이 성립될 때 나타난다고 한다. 특히 이 경우의 디폴트 설정에 문제가 있다는 것이 밝혀졌다.
이를 제일 먼저 발견한 건 보안 전문가 디라지 미시라(Dhiraj Mishra)로, “텔레그램 클라이언트가 디폴트 환경에서 P2P로 연결되어 있는 상태에서 통화를 시작하면 사용자의 IP 주소가 노출되는 현상이 있었다”고 발표했다.
Settings -> Privacy and security -> Calls -> peer-to-peer 설정을 차례로 선택해가면 더 많은 연결 옵션을 선택할 수 있지만 tdesktop과 윈도우용 텔레그램에서는 peer-to-peer -> nobody와 같은 옵션이 존재하지 않는다. “바로 이 점 때문에 프라이버시 문제가 발생하는 것”이라고 미시라는 설명했다.
미시라에 의하면 사용자의 IP 주소가 노출되는 문제는 안드로이드용 텔레그램에도 존재한다고 한다. “안드로이드 버전에서 이 문제를 겪지 않으려면 Settings -> Privacy and security -> Calls -> peer-to-peer -> nobody로 설정을 해두면 됩니다. 즉 안드로이드 버전에서는 위험으로부터 빠져나갈 여지가 있습니다.”
tdesktop에 있는 취약점을 발동시키려면, 텔레그램 데스크톱을 시작하고 다른 사용자에게 전화를 걸기 시작하면 된다. 그러면 클라이언트가 IP 주소를 노출시킨다.
사실 이 문제는 전화가 걸려 들어올 때조차 드러난다. 전화를 거는 사람의 공공 및 비밀 IP 주소가 로그에 고스란히 노출되는 것이다. 이 문제는 통화가 윈도우폰으로부터 걸려왔을 때도 동일하게 나타난다고 한다.
“IP 주소를 감추는 데 사용되는 MT프로토 모바일 프로토콜(MTProto Mobile Protocol)이 전혀 적용되지 않은 모습입니다. 이런 정보는 OSINT 활동에 잘못 사용될 수도 있습니다. 얼른 고쳐져야 할 문제입니다.”
미시라는 이 문제를 텔레그램 측에 알렸고, 텔레그램은 데스크톱 버전 1.3.17 베타와 1.4.0 버전을 내놓음으로써 이를 해결했다. peer-to-peer 옵션에 Nobody, My contacts를 추가한 것이었다. 미시라는 이 취약점을 보고함으로써 2천 3백 달러를 상금으로 받았다.
3줄 요약
1. 암호화가 강력한 게 자랑인 텔레그램. 데스크톱 버전과 윈도우용 버전에서 취약점 나옴.
2. 전화를 걸 때나 받을 때, 상대의 IP 주소가 노출되는 취약점임.
3. 텔레그램 측은 이 부분을 해결할 수 있게 해주는 옵션을 추가했음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
(1).jpg){kind=spacer}
(0).jpg){kind=spacer}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
