Один клик — и ты раскрыт: как замаскированные ссылки в Telegram выдают ваш реальный IP

Исследователи безопасности выявили в Telegram механизм, позволяющий раскрыть реальный IP-адрес пользователя через один неосторожный клик.

Речь идет о замаскированных прокси-ссылках, которые автоматически заставляют клиент мессенджера «прозвонить» сервер злоумышленника и выдать местоположение жертвы.

Специально сформированная ссылка вида t.me/proxy?... маскируется под обычный юзернейм (например, @username).

При нажатии на неё в мобильном приложении Telegram автоматически и незаметно для пользователя пытается подключиться к указанному прокси-серверу, чтобы проверить его доступность.

Владелец этого сервера моментально получает и логирует реальный IP-адрес жертвы, что может привести к её деанонимизации, определению местоположения или стать первым шагом для целевой атаки.

Особенную угрозу эта уязвимость представляет для журналистов, активистов и всех, кто использует Telegram и прокси именно для сохранения анонимности. Один клик по ссылке в доверенном чате может свести на нет все меры предосторожности.

Разработчики мессенджера не считают ситуацию уникальной уязвимостью, однако пообещали добавить предупреждение при переходе по таким ссылкам. Пока обновления нет, эксперты советуют проявлять крайнюю осторожность и не кликать на подозрительные ссылки в формате t.me, особенно на мобильных устройствах.