Уязвимость Telegram: прокси-ссылки могут раскрывать реальный IP пользователей

Исследователи установили, что одного клика по ссылке, которая выглядит как имя пользователя Telegram или обычная ссылка, достаточно для раскрытия реального IP-адреса пользователя. Это связано с особенностями обработки прокси-ссылок в мессенджере.

Компания планирует добавить предупреждения для прокси-ссылок после обнаружения уязвимости, позволяющей с помощью специально сформированных ссылок определить реальный IP-адрес пользователя без каких-либо дополнительных действий или подтверждений с его стороны.

Будьте осторожны со ссылками в Telegram

На этой неделе специалисты по информационной безопасности продемонстрировали, что клиенты Telegram на Android и iOS автоматически пытаются подключиться к прокси-серверу, если пользователь нажимает на специально сформированную внутреннюю ссылку.

Такие ссылки могут маскироваться под обычные имена пользователей. Например, в сообщении Telegram они могут выглядеть как @durov, но на самом деле вести на прокси-ссылку Telegram.

Прокси-ссылки Telegram вида t.me/proxy?... представляют собой специальные URL, предназначенные для быстрого добавления MTProto-прокси в клиент Telegram. Они позволяют подключить прокси одним нажатием, без ручного ввода параметров сервера:

https://t.me/proxy?server=[proxy IP address/hostname]&port=[proxy_port]&secret=[MTProto_secret]

При открытии такой ссылки в Telegram приложение считывает параметры прокси, включая адрес сервера, порт и секретный ключ, и предлагает пользователю добавить прокси в настройки.

Подобные ссылки широко распространяются для обхода сетевых блокировок и интернет-цензуры, а также для сокрытия реального местоположения пользователя. В условиях ограниченного доступа к сети эта функция имеет практическую ценность и часто используется активистами, журналистами и другими людьми, которым важна анонимность.

В клиентах Telegram для Android и iOS открытие прокси-ссылки также запускает автоматическую проверку соединения. В результате приложение инициирует прямой сетевой запрос с устройства пользователя к указанному серверу еще до того, как прокси будет добавлен в настройки.

Злоумышленники могут использовать это поведение, разворачивая собственные MTProto-прокси и распространяя ссылки, которые визуально выглядят как безобидные имена пользователей или ссылки на сайты, но на самом деле ведут на точки настройки прокси.

Если пользователь нажимает на такую ссылку в мобильном клиенте, приложение Telegram пытается установить соединение с сервером, находящимся под контролем атакующего. Это позволяет оператору прокси зафиксировать реальный IP-адрес пользователя.

Полученный IP-адрес может быть использован для определения примерного местоположения пользователя, проведения атак типа отказ в обслуживании (DoS) или для других форм целевого злоупотребления.

На проблему обратил внимание русскоязычный Telegram-канал chekist42. Опубликованная в посте ссылка-приманка, замаскированная под безобидную, была повторно распространена аккаунтом GangExposed RU в X, что привлекло к проблеме более широкое внимание:

https://t[.]me/proxy?server=1.1.1.1&port=53&secret=SubscribeToGangExposed_int

Исследователь пояснил:

Дальше происходит следующее: Telegram автоматически отправляет ping на прокси до его добавления, запрос проходит в обход всех настроенных прокси, и ваш реальный IP-адрес мгновенно фиксируется. Тихая и эффективная целевая атака.

Аккаунт 0x6rss, занимающийся исследованиями в области безопасности и OSINT в X, дополнительно продемонстрировал проблему с помощью видеодоказательства концепции (PoC).

Исследователь сравнил такое поведение с утечками NTLM-хэшей в Window, когда одного взаимодействия со специально подготовленным ресурсом достаточно, чтобы без ведома пользователя был выполнен исходящий сетевой запрос.

В целом раскрытие IP-адреса может использоваться для отслеживания местоположения, создания цифрового профиля пользователя и проведения целевых атак.

В данном случае уязвимость требует всего одного клика и не предусматривает дополнительного подтверждения со стороны пользователя, что делает ее удобным инструментом для целенаправленной деанонимизации.

Telegram пообещал предупреждать пользователей

В Telegram заявили, что любой сайт или оператор прокси в любом случае видит IP-адрес посетителей, и что эта ситуация не является уникальной для Telegram по сравнению с другими мессенджерами.

Представитель Telegram отметил:

Любой владелец сайта или прокси может видеть IP-адрес тех, кто к нему обращается, независимо от платформы.

Это не является чем-то специфичным для Telegram и в равной степени относится к WhatsApp и любым другим интернет-сервисам.

При этом мы добавим предупреждение, которое будет отображаться при переходе по прокси-ссылкам, чтобы пользователи лучше понимали, что ссылка может быть замаскирована.

До этого момента пользователям рекомендуется проявлять осторожность при взаимодействии с именами пользователей и ссылками в Telegram, ведущими на домены t.me, поскольку переход по замаскированным прокси-ссылкам может привести к непреднамеренному раскрытию реального IP-адреса.