Один клик и деанон. 1-click уязвимость в Telegram раскрывает ваш IP-адрес вопреки прокси
NewsMakerПереход по ссылке в Telegram приводит к раскрытию реального местоположения пользователя из-за ошибки в коде.
Обычный клик по ссылке в Telegram может обернуться утечкой реального IP-адреса , даже если пользователь уверен, что сидит через прокси. Исследователи обратили внимание на уязвимость, которая срабатывает автоматически и не требует никаких дополнительных действий со стороны жертвы.
Проблема связана с тем, как Telegram обрабатывает ссылки на прокси-серверы. При открытии такой ссылки клиент мессенджера сам пытается проверить доступность прокси. В этот момент приложение устанавливает соединение напрямую и тем самым раскрывает реальный IP-адрес пользователя. Ключ шифрования, который обычно используется в подобных ссылках, в этом сценарии не играет никакой роли.
Особенно опасно то, что ссылка может быть замаскирована под обычное имя пользователя. С виду она выглядит безобидно, но при нажатии запускает проверку прокси и приводит к утечке сетевых данных. По механике это напоминает утечки NTLM-хешей в Windows , где система сама инициирует сетевой запрос без ведома пользователя.
В основе атаки используется стандартный формат Telegram для подключения к прокси https://t.me/proxy?server=8.8.8.8&port=1337 , где подставляются адрес и порт сервера атакующего.
Обычный клик по ссылке в Telegram может обернуться утечкой реального IP-адреса , даже если пользователь уверен, что сидит через прокси. Исследователи обратили внимание на уязвимость, которая срабатывает автоматически и не требует никаких дополнительных действий со стороны жертвы.
Проблема связана с тем, как Telegram обрабатывает ссылки на прокси-серверы. При открытии такой ссылки клиент мессенджера сам пытается проверить доступность прокси. В этот момент приложение устанавливает соединение напрямую и тем самым раскрывает реальный IP-адрес пользователя. Ключ шифрования, который обычно используется в подобных ссылках, в этом сценарии не играет никакой роли.
Особенно опасно то, что ссылка может быть замаскирована под обычное имя пользователя. С виду она выглядит безобидно, но при нажатии запускает проверку прокси и приводит к утечке сетевых данных. По механике это напоминает утечки NTLM-хешей в Windows , где система сама инициирует сетевой запрос без ведома пользователя.
В основе атаки используется стандартный формат Telegram для подключения к прокси https://t.me/proxy?server=8.8.8.8&port=1337 , где подставляются адрес и порт сервера атакующего.