Даже один, казалось бы, безобидный клик в Telegram может обернуться утечкой реального IP-адреса. Исследователи обнаружили, что специально сформированные прокси-ссылки позволяют злоумышленникам деанонимизировать пользователя — без дополнительных подтверждений и предупреждений. После публикаций об этом Telegram пообещал добавить предупреждения при открытии таких ссылок.
Как выяснилось, клиенты Telegram на Android и iOS автоматически пытаются подключиться к прокси-серверу, если пользователь нажимает на ссылку формата t.me/proxy?.... Причём соединение происходит напрямую, ещё до добавления прокси в настройки.
Proxy-ссылки Telegram предназначены для быстрой настройки MTProto-прокси — их часто используют для обхода блокировок и сокрытия реального местоположения. Обычно такая ссылка выглядит так:
t.me/proxy?server=IP&port=PORT&secret=SECRET
Но, как показали исследователи, такую ссылку легко замаскировать под обычное имя пользователя или «безопасный» URL. В сообщении она может выглядеть, например, как @username, хотя на самом деле ведёт на прокси-настройку.
Если пользователь нажимает на такую ссылку с телефона, Telegram автоматически проверяет доступность прокси, отправляя сетевой запрос напрямую с устройства. В результате владелец прокси-сервера получает реальный IP-адрес жертвы.
«Telegram автоматически пингует прокси до его добавления, запрос идёт в обход всех настроек, и реальный IP логируется мгновенно», — описывают механизм исследователи. Они называют это «тихой и эффективной точечной атакой».
Раскрытый IP-адрес можно использовать для определения примерного местоположения пользователя, таргетированных атак, DDoS или дальнейшего профилирования. Особенно опасной эта проблема выглядит для журналистов, активистов и пользователей, которые изначально используют Telegram и прокси именно ради анонимности.
Ситуацию впервые подробно описал телеграм-канал chekist42, а затем её подхватили исследователи и OSINT-аккаунты в X, опубликовав видеодемонстрации атаки.
В Telegram не считают происходящее полноценной уязвимостью. В компании заявили, что любой сайт или прокси-сервер в интернете может видеть IP-адрес посетителя, и это якобы не делает ситуацию уникальной.
«Любой владелец сайта или прокси видит IP-адрес пользователя вне зависимости от платформы. Это не более актуально для Telegram, чем для WhatsApp (принадлежит Meta, признанной экстремистской и запрещенной в России) или других сервисов», — сообщили в Telegram BleepingComputer.
Тем не менее разработчики признали риски и пообещали добавить предупреждения при переходе по прокси-ссылкам, чтобы пользователи понимали, что именно они открывают. Когда именно это появится в клиентах — пока не уточняется.
Пока предупреждений нет, эксперты советуют быть особенно осторожными:
- не кликать по подозрительным ссылкам t.me, даже если они выглядят как имена пользователей;
- помнить, что прокси-ссылки могут быть замаскированы под обычный текст;
- особенно внимательно относиться к таким ссылкам на мобильных устройствах.
Комментирует Сергей Хайрук, аналитик InfoWatch:
«В 2014 году мы отмечали повышенный интерес злоумышленников к платежным данным, которые обрабатываются в информационных системах ритейлеров. Теперь хакеры добрались и до онлайн-сервисов. Очевидно, в 2015 следует ожидать массовых атак на компании, оперирующие большим объемом платежных данных, но менее защищенные, чем кредитные организации. Это могут быть крупные туристические онлайн-сервисы, системы бронирования авиабилетов, национальные интернет-провайдеры, логистические компании».