Итак, всем Привет! После появления VoIP В Telegram (пока в мобильных клиентах), чисто случайно заметил одну неприятную вещь, это открытый дебаг…

Введение


В общем, дело было вечером, делал себе приложение для управления RPI из серии «лень встать и выключить свет» )

Следовательно телефон был подключен по ADB чтобы можно было увидеть 2 несчастные кнопки для различных тестов и в телеграмме позвонил товарищ, при этом телефон был еще в ADB, решил ради интереса посмотреть логи телеграмма.

Далее все интереснее, там была информация о звонке и комментарий примерно такого рода «Нажмите 10 на имя абонента, чтобы увидеть инфу о звонке».

Недолго думая, нажал и увидел интересную статистику:

image

Где [UDP_RELAY]/[UDP_RELAY_IN_USE] — сервера телеграмма, через которые проходит трафик и самое интересное [UDP_P2P_INET] — IP адрес собеседника(если статический — то уже можно и развлекаться)

Бежим в саппорт


Сразу же побежал писать в саппорт и в твиттере, ссылаясь на ленту телеграмма, но ответ пришел весьма удивляющий…

image

Далее немного подумал и решил на следующий день дальше находить плюшки… На клиенте для iOS окно дебага весьма интересно выглядит, так как можно менять настройки разговора.

image

Это все конечно хорошо, но если посмотреть скриншот выше, то можно заметить, что редактирования настроек на яблочном клиенте есть и можно выключить P2P и адрес собеседнику виден не будет.

Ну и последнее, Clear Voice и битрейт до 35 kbit — такое себе )
Поделиться с друзьями
-->

Комментарии (17)


  1. yurtaev
    05.04.2017 18:59
    +14

    Как бы весь смысл P2P в том что трафик ходит напрямую между клиентами без третьих сторон.


    1. FeNUMe
      05.04.2017 19:18
      -4

      Так то оно так, но в приложении которое позиционирует себя секурным должна быть явная для пользователя настройка этого P2P с указанием что при включении вас могут отследить.


      1. dmytrobogovych
        05.04.2017 20:57
        +3

        Не каждый клиент будет доверять relay-у через который трафик пойдет.


        1. GreenStore
          05.04.2017 22:41

          Выше ведь написали про опцию. И поясните, «прямой» трафик автоматически является безопасным? Как так?


          1. EminH
            06.04.2017 09:35

            не автоматически, но для голоса прямой трафик важен, иначе во многих случаях им (голосом) пользоваться просто невозможно


      1. TimsTims
        06.04.2017 09:25
        +1

        приложении которое позиционирует себя секурным
        вам шашечки, или ехать?
        А то, что трафик по вашему должен идти через чьи-то ноды — вас не смущает?


        1. FeNUMe
          06.04.2017 12:47
          -1

          вам шашечки, или ехать?

          Мне — возможность управлять инструментом связи.

          То что трафик идет через ноды телеграма меня не смущает, потому что я на это сам соглашаюсь, когда решаю его использовать. А то что мой айпи отдается собеседнику БЕЗ предупреждения и явной возможности это отключить еще как смущает.


        1. GreenStore
          06.04.2017 15:22

          > А то, что трафик по вашему должен идти через чьи-то ноды — вас не смущает?

          А трафик в любом случае пойдет через чьи-то ноды (WiFi-точки доступа в кафе, провайдера, магистрального провайдера и т.п.).


          1. Alukardd
            06.04.2017 16:53

            Да пофиг, он всё же шифрованный.


            1. GreenStore
              06.04.2017 18:22

              Так конечно пофиг.

              Поэтому чего смущаться «чьих-то нод». Основная причина использования P2P — экономия на трафике и производительности серверов и, если повезет, оптимизация задержек в канале.


      1. ValdikSS
        07.04.2017 10:50
        +1

        Не путайте безопасность и анонимность. Никто не заявлял об анонимности.


  1. aylarov
    05.04.2017 19:07
    +2

    Сферический WebRTC в вакууме. Никакой магии


  1. kot9pko
    05.04.2017 21:07

    Тем более, это работает только в случае, если оба собеседника находятся в одной сети.


    1. barbariska1080
      05.04.2017 22:03

      Нет, не только


    1. barbariska1080
      05.04.2017 23:44
      -3

      Если посмотреть на скрин последний — устройство на яблочной ось гуляет в сети с помощью мобильного интернета.


      1. rkfg
        06.04.2017 11:13
        +1

        С мобильным интернетом бояться как раз нечего — там обычно NAT, а то и двойной бывает, т.к. абонентов очень много, а адресов очень мало. Злоумышленник максимум сможет узнать вашего оператора и/или с некоторой вероятностью город, но часто шлюз оператора с WAN IP находится в центре региона. Скажем, у меня определяется город Санкт-Петербург, хотя до него больше тысячи километров.


  1. shanker
    06.04.2017 13:12

    Сама идея выявления IP-адреса собеседника не нова, такие исследования касаются различных мессенджеров. Я как-то наблюдал такое в Skype ещё 6 лет назад.
    Другое дело, что конктеретно данная статья может быть прекрасным дополнением к книжке: