![APT28 атаковала UKR[.]NET: фишинг, PDF и прокси ngrok](https://www.anti-malware.ru/files/styles/imagesize266w200h/public/images/source/fancy_bear-news.png?itok=l8qWG_nF×tamp=1766255143)
Даже один, казалось бы, безобидный клик в Telegram может обернуться утечкой реального IP-адреса. Исследователи обнаружили, что специально сформированные прокси-ссылки позволяют злоумышленникам деанонимизировать пользователя — без дополнительных подтверждений и предупреждений. После публикаций об этом Telegram пообещал добавить предупреждения при открытии таких ссылок.
Как выяснилось, клиенты Telegram на Android и iOS автоматически пытаются подключиться к прокси-серверу, если пользователь нажимает на ссылку формата t.me/proxy?.... Причём соединение происходит напрямую, ещё до добавления прокси в настройки.
Proxy-ссылки Telegram предназначены для быстрой настройки MTProto-прокси — их часто используют для обхода блокировок и сокрытия реального местоположения. Обычно такая ссылка выглядит так:
t.me/proxy?server=IP&port=PORT&secret=SECRET
Но, как показали исследователи, такую ссылку легко замаскировать под обычное имя пользователя или «безопасный» URL. В сообщении она может выглядеть, например, как @username, хотя на самом деле ведёт на прокси-настройку.
Если пользователь нажимает на такую ссылку с телефона, Telegram автоматически проверяет доступность прокси, отправляя сетевой запрос напрямую с устройства. В результате владелец прокси-сервера получает реальный IP-адрес жертвы.
«Telegram автоматически пингует прокси до его добавления, запрос идёт в обход всех настроек, и реальный IP логируется мгновенно», — описывают механизм исследователи. Они называют это «тихой и эффективной точечной атакой».
Раскрытый IP-адрес можно использовать для определения примерного местоположения пользователя, таргетированных атак, DDoS или дальнейшего профилирования. Особенно опасной эта проблема выглядит для журналистов, активистов и пользователей, которые изначально используют Telegram и прокси именно ради анонимности.
Ситуацию впервые подробно описал телеграм-канал chekist42, а затем её подхватили исследователи и OSINT-аккаунты в X, опубликовав видеодемонстрации атаки.
В Telegram не считают происходящее полноценной уязвимостью. В компании заявили, что любой сайт или прокси-сервер в интернете может видеть IP-адрес посетителя, и это якобы не делает ситуацию уникальной.
«Любой владелец сайта или прокси видит IP-адрес пользователя вне зависимости от платформы. Это не более актуально для Telegram, чем для WhatsApp (принадлежит Meta, признанной экстремистской и запрещенной в России) или других сервисов», — сообщили в Telegram BleepingComputer.
Тем не менее разработчики признали риски и пообещали добавить предупреждения при переходе по прокси-ссылкам, чтобы пользователи понимали, что именно они открывают. Когда именно это появится в клиентах — пока не уточняется.
Пока предупреждений нет, эксперты советуют быть особенно осторожными:
- не кликать по подозрительным ссылкам t.me, даже если они выглядят как имена пользователей;
- помнить, что прокси-ссылки могут быть замаскированы под обычный текст;
- особенно внимательно относиться к таким ссылкам на мобильных устройствах.
