| >> |
№185788
17682504847290.mp4
(1363Кб, 2706x1440)
Показана уменьшенная копия, оригинал по клику.
Telegram раскрывает IP-адреса реальных пользователей, обходя прокси на Android и iOS одним кликом
В мобильных клиентах Telegram обнаружена скрытая уязвимость, позволяющая злоумышленникам одним щелчком мыши раскрыть реальные IP-адреса пользователей, даже тех, кто скрывается за прокси-серверами. Эта уязвимость, получившая название «IP-лик в один клик», превращает, казалось бы, безобидные ссылки на имена пользователей в мощное средство отслеживания.
Суть: ты переходишь по зловредному юзернейму, который отображается как например @durov а там скрывается ссылка
Проблема заключается в механизме автоматической проверки прокси-серверов в Telegram. Когда пользователи сталкиваются со скрытой ссылкой на прокси, часто встроенной за имя пользователя (например, t.me/proxy?server=attacker-controlled), приложение отправляет запрос на прокси-сервер, прежде чем добавить его.
Что особенно важно, этот пинг обходит все настроенные пользователем прокси-серверы, перенаправляя трафик напрямую с устройства жертвы и раскрывая её настоящий IP-адрес. Секретный ключ не требуется, что аналогично утечкам хэшей NTLM в Windows, где попытки аутентификации приводят к ложному срабатыванию клиента.
Эксперт по кибербезопасности @0x6rss продемонстрировал вектор атаки на X (Twitter) и поделился доказательством: утечка IP-адреса в Telegram в один клик. «Telegram автоматически проверяет пинг прокси-сервера перед его добавлением», — отметил он. «Запрос обходит все настроенные прокси. Ваш реальный IP-адрес мгновенно регистрируется».
Как проходит атака
Злоумышленники создают вредоносные прокси-адреса и маскируют их под кликабельные имена пользователей в чатах или каналах. Целевой пользователь кликает один раз, что запускает:
- Автоматическая проверка прокси : Telegram отправляет запрос на проверку подключения к серверу злоумышленника.
- Обход прокси : Запрос игнорирует настройки SOCKS5 , MTProto или VPN, используя собственный сетевой стек устройства.
- IP-логирование : Сервер злоумышленника фиксирует исходный IP-адрес, геолокацию и метаданные.
Уязвимы как клиенты для Android, так и для iOS, что затрагивает миллионы пользователей, которые используют Telegram для конфиденциального общения. Для взаимодействия с пользователем требуется лишь клик; это происходит незаметно и эффективно для раскрытия личных данных, слежки или деанонимизации активистов.
Этот недостаток подчеркивает риски для приложений, активно использующих прокси-серверы, на фоне растущего числа государственных программ слежки. Telegram, насчитывающий более 950 миллионов пользователей, до сих пор публично не исправил эту ошибку.
Меры по смягчению последствий:
- Отключите автоматическое определение прокси-сервера в настройках (если эта функция доступна).
- Избегайте перехода по ссылкам/именам неизвестных пользователей.
- Используйте правила брандмауэра для блокировки исходящих запросов к прокси-серверу (например, через Little Snitch на iOS или AFWall+ на Android).
Компания Telegram не ответила на запросы о комментариях к моменту публикации.
АПД: высрали коммент
"Any website or proxy owner can see the IPs of those who access it regardless of platform. This is no more relevant to Telegram than WhatsApp or any other web service. Still, we're adding a warning that will show when clicking proxy links so users can be aware of disguised links." - https://x.com/telegram/status/2010726290513666254
Новость: https://cybersecuritynews.com/one-click-telegram-flaw/
Воспроизведение: https://x.com/0x6rss/status/2009977902662590787
Первоначальный твит: https://x.com/GangExposed_RU/status/2009961303952298348
|