Один клик и деанон. 1-click уязвимость в Telegram раскрывает ваш IP-адрес вопреки прокси

Telegram API IP-адрес прокси Android iOS 1-Click
Один клик и деанон. 1-click уязвимость в Telegram раскрывает ваш IP-адрес вопреки прокси
Telegram API IP-адрес прокси Android iOS 1-Click

Переход по ссылке в Telegram приводит к раскрытию реального местоположения пользователя из-за ошибки в коде.

image

Обычный клик по ссылке в Telegram может обернуться утечкой реального IP-адреса, даже если пользователь уверен, что сидит через прокси. Исследователи обратили внимание на уязвимость, которая срабатывает автоматически и не требует никаких дополнительных действий со стороны жертвы.

Проблема связана с тем, как Telegram обрабатывает ссылки на прокси-серверы. При открытии такой ссылки клиент мессенджера сам пытается проверить доступность прокси. В этот момент приложение устанавливает соединение напрямую и тем самым раскрывает реальный IP-адрес пользователя. Ключ шифрования, который обычно используется в подобных ссылках, в этом сценарии не играет никакой роли.

Особенно опасно то, что ссылка может быть замаскирована под обычное имя пользователя. С виду она выглядит безобидно, но при нажатии запускает проверку прокси и приводит к утечке сетевых данных. По механике это напоминает утечки NTLM-хешей в Windows, где система сама инициирует сетевой запрос без ведома пользователя.

В основе атаки используется стандартный формат Telegram для подключения к прокси https://t.me/proxy?server=8.8.8.8&port=1337, где подставляются адрес и порт сервера атакующего.

Такую ссылку легко замаскировать под что-то безобидное. Она может быть спрятана за ником пользователя или выглядеть как обычный веб адрес, например упоминание аккаунта или ссылка на популярный сайт, тогда как фактически ведет на https://t.me/proxy?server=8.8.8.8&port=1337. При клике Telegram автоматически пытается проверить прокси и в этот момент устанавливает соединение с указанным сервером, раскрывая реальный IP адрес пользователя.

С точки зрения жертвы это выглядит как обычный переход по ссылке без каких-либо предупреждений или запросов, что и делает схему особенно эффективной.

Уязвимость затрагивает Telegram-клиенты как на Android, так и на iOS. Достаточно одного нажатия, чтобы реальный IP стал известен третьей стороне. Это делает атаку особенно опасной для пользователей, которые рассчитывают на анонимность при общении или работе с чувствительными темами.

На данный момент команда Telegram не выпустила официальных заявлений. Пользователям рекомендуют с осторожностью относиться к любым ссылкам, связанным с прокси, даже если они выглядят как обычные профили или сообщения от знакомых аккаунтов.