Telegram desktop e rischio privacy: come proteggersi e cosa dice il fondatore

Telegram Desktop ha una falla di sicurezza che minaccia la privacy degli utenti mostrando l’indirizzo IP.

L’app di messaggistica Telegram è stata sempre considerata molto sicura, per merito della crittografia implementata come standard. Ma una falla scoperta di recente nelle versioni desktop di Telegram potrebbe aver compromesso gli indirizzi IP degli utenti.

Videochiamate Telegram

Telegram desktop a rischio privacy

Scoperto dal ricercatore di sicurezza Dhiraj Mishra, il difetto nell’app Windows e nell’app  Desktop espone e registra l’indirizzo IP di un utente che sta effettuando una chiamata, con i dati memorizzati nei registri della consolle. Il problema è che, per impostazione predefinita, Telegram obbliga gli utenti ad utilizzare entrambi il peer-to-peer per le chiamate e a registrare l’indirizzo IP di ciascuna connessione.

Telegram desktop: come proteggere l’indirizzo IP

“Telegram è presumibilmente un’applicazione di messaggistica sicura, ma obbliga i client a utilizzare solo la connessione P2P durante l’avvio di una chiamata, tuttavia, questa impostazione può anche essere modificata da Impostazioni> Privacy e sicurezza> Chiamate> peer-to-peer ad altre opzioni disponibili”, ha affermato Mishra in un post sul blog. “Tdesktop e Telegram per Windows rompono questa fiducia pubblicando l’indirizzo IP pubblico/privato dell’utente finale e non c’è ancora un’opzione disponibile per impostare la modalità P2P> nessuno in tdesktop e Telegram per Windows.”

Non è che Telegram registri l’indirizzo IP ma le app di Windows e Desktop lo fanno senza la possibilità di disattivare la funzionalità. Altre versioni dei client come quelle su macOS, iOS e Android registrano anche l’indirizzo IP ma supportano la possibilità di disattivare la funzione.

Telegram risponde con una nuova versione della app desktop

Telegram ha risposto rapidamente alla notizia, non solo ricompensando Mishra per aver scoperto il bug ma anche realizzando una nuova versione delle app. Gli utenti che sono preoccupati per la privacy sono invitati a scaricare la nuova versione e anche a disattivare la chiamata P2P in modo da evitare l’esposizione del loro indirizzo IP.

Cosa ha detto Pavel Durov, il fondatore di Telegram

Alcuni media hanno riferito che l’app di Telegram Desktop non era protetta perché “esponeva gli indirizzi IP” quando veniva utilizzata per accettare una chiamata vocale.

La realtà è molto meno sensazionale: Telegram Desktop era sicuro tanto quanto le altre app VoIP crittografate, anche prima di migliorarlo aggiungendo un’opzione per disabilitare le chiamate peer-to-peer. Per quanto riguarda le chiamate Telegram sui cellulari, erano sempre più sicure rispetto alla concorrenza, perché avevano questa impostazione sin dall’inizio.

Durante una chiamata peer-to-peer (P2P), il traffico vocale scorre direttamente da un partecipante di una chiamata all’altro senza fare affidamento su un server intermedio. Il routing P2P consente di ottenere chiamate di qualità più elevata con una minore latenza, pertanto lo standard corrente del settore è di avere P2P attivato per impostazione predefinita.

Tuttavia, c’è un problema: per definizione, entrambi i dispositivi che partecipano a una chiamata P2P devono conoscere gli indirizzi IP l’uno dell’altro. Quindi, se fai o accetta una chiamata, la persona dall’altra parte può in teoria imparare il tuo indirizzo IP.

Ecco perché, a differenza di WhatsApp o Viber, Telegram ha sempre dato ai suoi utenti la possibilità di disattivare le chiamate P2P e inoltrarle attraverso un server Telegram. Inoltre, nella maggior parte dei paesi abbiamo disattivato il P2P per impostazione predefinita.

Telegram Desktop, che viene utilizzato in meno dello 0,01% delle chiamate Telegram, era l’unica piattaforma in cui mancava questa impostazione. Grazie a un ricercatore che lo ha sottolineato, abbiamo reso l’esperienza di Telegram Desktop coerente con il resto delle nostre app.

Tuttavia, è importante mettere questo in prospettiva e rendersi conto che si tratta di un’app di Telegram (Telegram Desktop) in qualche modo meno sicura rispetto ad altre app di Telegram (ad esempio Telegram per iOS o Android). Se confronti Telegram con altri servizi di messaggistica popolari, sfortunatamente, non sono nemmeno vicini ai nostri standard.

Utilizzando la terminologia dei titoli appariscenti, WhatsApp, Viber e il resto hanno “esposto il tuo indirizzo IP” nel 100% delle chiamate. Lo stanno ancora facendo e non fare “opt out”. L’unico modo per fermare questa cosa è di avere tutti i tuoi amici su Telegram.