Telegram — одна из самых популярных платформ обмена сообщениями в мире, что делает ее привлекательной целью для злоумышленников, желающих воспользоваться огромной аудиторией сервиса. На этот раз исследователи кибербезопасности нашли способ использовать в адресе специально созданные ссылки из t.me (фактически любые ссылки), чтобы раскрыть реальный IP-адрес пользователя.
Механизм атаки работает следующим образом. Злоумышленник создает специальную ссылку, которая указывает на подконтрольный ему прокси-сервер, но маскируется под обычное имя пользователя или безобидный элемент. Когда пользователь на устройстве Android или iOS нажимает на такую ссылку, приложение Telegram автоматически пытается подключиться к серверу злоумышленника, чтобы проверить прокси-соединение.
Этот процесс происходит до того, как пользователю будет предложено подтвердить действие, а любые существующие настройки VPN или прокси-сервера игнорируются. В результате реальный IP-адрес пользователя может быть напрямую передан стороне, контролирующей сервер, что приводит к потенциальной утечке конфиденциальной сетевой информации.
Любая функция, предназначенная для обеспечения конфиденциальности, в конечном итоге может быть использована не по назначению. В этом случае злоумышленники могут распространять вредоносные ссылки в каналах или личных сообщениях, создавая видимость полной безопасности. Обычно используется следующий формат:
https://t.me/proxy?server=[IP-адрес прокси/имя хоста]&port=[proxy_port]&secret=[MTProto_secret]
Учетная запись социальной сети X под названием 0x6rss продемонстрировала, что секретный параметр в этом URL-адресе на самом деле не имеет значения, поскольку попытка подключения происходит независимо от его содержимого. Такое поведение похоже на известные утечки хэшей NTLM в среде Windows, где сама попытка аутентификации уже приводит к раскрытию информации. Протокол MTProto позволяет использовать прокси в законных целях. Telegram представил собственную прокси-систему MTProto еще в 2018 году, чтобы помочь пользователям обходить интернет-цензуру в странах с жесткими ограничениями на доступ к сети. Эта функция работает путем передачи зашифрованных данных между клиентами и серверами Telegram.
В комментарии BleepingComputer представитель Telegram отметил, что любой прокси-оператор может видеть IP-адреса подключающихся к нему пользователей, и что это не уникально для Telegram. После дальнейших допросов представитель пообещал, что к прокси-ссылкам будет добавлено предупреждение, чтобы пользователи были лучше осведомлены о рисках, связанных со скрытыми ссылками. При этом конкретные сроки реализации такой коррекции не названы.
Параллельно с этим платформа недавно представила значительное визуальное обновление для пользователей iPhone, которое включает в себя новый стиль под названием Liquid Glass и расширенный набор анимаций. Также была добавлена новая функция на базе искусственного интеллекта, которая работает в децентрализованной сети Cocoon и позволяет автоматически суммировать длинные сообщения в каналах.
