Уязвимость Telegram: 1-клик раскрывает IP-адрес пользователя через MTProto прокси-ссылки
Ключевые факты
- 1 Уязвимость связана с автоматическим пингом MTProto прокси-ссылок (`t.me/proxy`) в клиентах Telegram.
- 2 При нажатии на такую ссылку клиент устанавливает прямое соединение с сервером прокси, раскрывая реальный IP-адрес пользователя.
- 3 Атака обходит текущие VPN и прокси-серверы, используемые пользователем.
- 4 Уязвимость затрагивает клиентов Telegram на Android (подтверждено с 2023 года) и iOS.
- 5 Для эксплуатации злоумышленнику достаточно замаскировать прокси-ссылку под любой кликабельный элемент в сообщении.
Уязвимость основана на том, что клиенты Telegram для Android и iOS автоматически инициируют прямое соединение (пинг) с сервером, указанным в MTProto прокси-ссылке (`t.me/proxy?server=...`), чтобы проверить его доступность, прежде чем предложить пользователю добавить прокси. Если злоумышленник отправляет пользователю сообщение, содержащее такую ссылку, и пользователь нажимает на нее, клиент устанавливает прямое соединение, раскрывая реальный IP-адрес пользователя серверу злоумышленника, даже если пользователь использует VPN или другой прокси. Эта техника является формой целевой атаки и была известна с 2023 года. Для эксплуатации достаточно, чтобы пользователь нажал на любой элемент, под который замаскирована прокси-ссылка. Уязвимость обходит все прокси и VPN, так как клиент инициирует соединение напрямую, игнорируя текущие настройки маршрутизации. 💡 Фактчекинг: Подтверждено. Уязвимость связана с обработкой MTProto прокси-ссылок (`t.me/proxy`) в клиентах Telegram (особенно Android и iOS). При нажатии на такую ссылку клиент инициирует прямое соединение для проверки прокси, раскрывая IP-адрес. Уязвимость не распространяется на обычные ссылки или имена пользователей, если они не замаскированы под прокси-ссылки. Telegram выпустил обновления для смягчения этой проблемы, но риск остается при использовании старых версий.