Исследователи обнаружили механизм деанонимизации пользователей Telegram через специальные прокси-ссылки. Одного клика по ссылке формата t.me/proxy может быть достаточно для утечки реального IP-адреса без ведома или согласия пользователя.
При нажатии на такую ссылку мобильные приложения Telegram как на Android, так и на iOS, автоматически и мгновенно пытаются проверить доступность указанного прокси-сервера. Эта проверка происходит напрямую с устройства пользователя, ещё до того, как прокси будет добавлен в настройки или появится какое-либо предупреждение. В результате администратор прокси-сервера получает в логах реальный IP-адрес кликнувшего.
Главная угроза заключается в том, что такие ссылки легко замаскировать. В сообщении они могут выглядеть как обычное упоминание @username или безопасный URL-адрес, но на самом деле вести на скрытую прокси-настройку. Демонстрации работы этого метода были опубликованы рядом OSINT-специалистов и исследователей.
Раскрытый IP-адрес позволяет злоумышленникам:
– Определить примерное географическое местоположение.
– Провести таргетированную хакерскую атаку на устройство или сеть.
– Организовать DDoS-атаку.
– Использовать информацию для сбора данных и профилирования жертвы.
При этом представители мессенджера, комментируя ситуацию для издания BleepingComputer, не признали описанный механизм полноценной уязвимостью, но пообещали добавить в будущем предупреждающее уведомление перед переходом по подобным ссылкам.
Пока же пользователям стоит проявлять повышенную осторожность и не переходить по подозрительным или непроверенным ссылкам в Telegram, даже если внешне они выглядят безопасно.