Telegram є однією з найпопулярніших платформ обміну повідомленнями у світі, що робить її привабливою ціллю для зловмисників, які прагнуть скористатися масштабною аудиторією сервісу. Цього разу дослідники з кібербезпеки виявили спосіб використання спеціально сформованих посилань з t.me в адресі, фактично будь-яких посилань, для розкриття реальної IP-адреси користувача.
Механізм атаки працює таким чином. Зловмисник створює спеціальне посилання, яке вказує на проксі-сервер, що перебуває під його контролем, але маскується під звичайне ім’я користувача або нешкідливий елемент. Коли користувач на пристрої з Android або iOS натискає на таке посилання, застосунок Telegram автоматично намагається підключитися до сервера зловмисника для перевірки проксі-з’єднання.
Цей процес відбувається ще до того, як користувачеві пропонується будь-яке підтвердження дії, при цьому ігноруються наявні налаштування VPN або проксі. У результаті реальна IP-адреса користувача може бути безпосередньо передана стороні, яка контролює сервер, що створює потенційний витік чутливої мережевої інформації.
Будь-яка функція, створена з міркувань приватності, з часом може бути використана не за призначенням. У цьому випадку зловмисники можуть поширювати шкідливі посилання в каналах або приватних повідомленнях, надаючи їм вигляду цілком безпечних. Зазвичай використовується такий формат:
https://t.me/proxy?server=[proxy IP address/hostname]&port=[proxy_port]&secret=[MTProto_secret]
Акаунт у соціальній мережі X під назвою 0x6rss продемонстрував, що параметр secret у цьому URL фактично не має значення, оскільки спроба підключення відбувається незалежно від його вмісту. Така поведінка має схожість із відомими витоками NTLM-хешів у середовищі Windows, де сама спроба автентифікації вже призводить до розкриття інформації. Протокол MTProto дозволяє використання проксі з легітимною метою. Telegram запровадив власну систему проксі MTProto ще у 2018 році для допомоги користувачам у обході інтернет-цензури в країнах із жорсткими обмеженнями доступу до мережі. Ця функція працює шляхом ретрансляції зашифрованих даних між клієнтами та серверами Telegram.
У коментарі для BleepingComputer представник Telegram зазначив, що будь-який оператор проксі-сервера може бачити IP-адреси користувачів, які до нього підключаються, і що це не є унікальною особливістю Telegram. Після додаткових запитань представник пообіцяв, що до проксі-посилань буде додано попередження, аби користувачі краще усвідомлювали ризики, пов’язані із замаскованими посиланнями. При цьому конкретні строки впровадження такого виправлення не були названі.
Паралельно з цим платформа нещодавно представила значне візуальне оновлення для користувачів iPhone, яке включає новий стиль під назвою Liquid Glass та розширений набір анімацій. Також було додано нову функцію на основі штучного інтелекту, що працює на децентралізованій мережі Cocoon і дозволяє автоматично створювати стислий виклад довгих публікацій у каналах.
