O popular aplicativo de mensagens Telegram pode vazar seu endereço de IP se você simplesmente adicionar um hacker aos seus contatos e aceitar uma chamada telefônica deles.
Denis Simonov, um pesquisador de segurança, que também é conhecido como n0a, destacou recentemente o problema e criou uma ferramenta simples para explorá-lo. O TechCrunch verificou as descobertas do pesquisador adicionando Simonov aos contatos de uma conta do Telegram recém-criada. Simonov então ligou para a conta e, pouco depois, forneceu ao TechCrunch o endereço de IP do computador onde o experimento estava sendo realizado.
O Telegram conta com 700 milhões de usuários em todo o mundo e sempre se promoveu como um aplicativo de mensagens “seguro” e “privado”, embora especialistas tenham repetidamente alertado que o Telegram não é tão seguro quanto um aplicativo com criptografia de ponta a ponta, como o Signal, por exemplo.
O fato de o Telegram vazar seu endereço de IP para as pessoas em seus contatos durante uma chamada de voz é conhecido há anos, mas é provável que novos usuários menos técnicos não estejam cientes disso.
Simonov, que trabalha para a empresa de cibersegurança T.Hunter, disse ao TechCrunch: “O Telegram se concentra na segurança e privacidade, no entanto, para se manter seguro, você precisa estar ciente dos detalhes de como as chamadas de voz no aplicativo funcionam.”
“Uma pessoa despreparada pode facilmente revelar seu endereço de IP ao interlocutor se não souber disso”, disse Simonov.
A razão pela qual o Telegram vaza o endereço de IP de um usuário durante uma chamada é que, por padrão, o Telegram usa uma conexão ponto a ponto entre os interlocutores “para melhor qualidade e menor latência”, disse Remi Vaughn, porta-voz do Telegram, ao TechCrunch.
“O lado negativo disso é que isso exige que ambos os lados saibam o endereço de IP um do outro (pois é uma conexão direta). Ao contrário de outros mensageiros, chamadas de pessoas que não estão na sua lista de contatos serão encaminhadas pelos servidores do Telegram para ocultar isso”, disse Vaughn.