Мобільні клієнти Telegram для Android та iOS виявилися вразливими до сценарію, за якого зловмисник може дізнатися реальну IP-адресу користувача після одного кліку по спеціально сформованому посиланню. Атака спирається на те, як застосунок обробляє конфігураційні посилання MTProto‑proxy формату t.me/proxy?…, і не потребує жодних додаткових дій з боку жертви.
Витік IP-адреси в Telegram через MTProto‑proxy: суть проблеми
Посилання на MTProto‑proxy використовуються для автоматичного налаштування проксі в Telegram. Користувач відкриває URL, клієнт мессенджера витягує параметри (адресу сервера, порт, секретний ключ) і пропонує додати проксі до налаштувань. Такий механізм широко застосовують для обходу блокувань та цензури.
Однак дослідження показало, що при відкритті проксі-посилання мобільні версії Telegram автоматично здійснюють тестове підключення до вказаного MTProto‑сервера ще до того, як користувач підтвердить додавання проксі. Трафік іде безпосередньо з пристрою користувача до сервера, і оператор проксі одразу отримує його реальну IP-адресу.
Як працює атака через посилання t.me/proxy
Автоматичне тестове підключення без згоди користувача
Коли відкривається посилання формату t.me/proxy?server=…&port=…&secret=…, застосунок Telegram перевіряє, чи «живий» сервер проксі: надсилає запит і оцінює доступність. З точки зору зручності це логічно, адже користувач отримує лише працездатні конфігурації.
Проблема полягає в тому, що тестовий конект відбувається без будь-якого попередження чи запиту згоди. Для власника MTProto‑сервера це звичайне вхідне з’єднання, у межах якого видно IP-адресу клієнта, його провайдера, країну, регіон та орієнтовне місто через стандартні сервіси IP‑геолокації.
Маскування проксі-посилань під звичайні згадки акаунтів
Додатковий ризик створює можливість замаскувати шкідливе посилання t.me/proxy під знайомий формат, наприклад під посилання на юзернейм. У інтерфейсі користувач бачить щось на кшталт @username, але фактичний URL посилання вказує на t.me/proxy?… і веде на сервер під контролем зловмисника.
Після кліку Telegram негайно встановлює з’єднання з цим MTProto‑сервером, тож атакувальник отримує реальну IP-адресу користувача навіть у тому випадку, якщо той відразу скасує додавання проксі. Таким чином, для витоку IP достатньо одного кліку по шкідливому посиланню.
Чому витік IP-адреси в Telegram небезпечний
IP-адреса не містить ПІБ чи паспортних даних, але є критично важливим елементом цифрового сліду. Вона часто використовується як відправна точка для подальшої деанонімізації та таргетованих атак.
1. Визначення місцезнаходження. За допомогою IP‑геолокації можна з достатньою точністю встановити країну, регіон та місто. Для журналістів, правозахисників, політичних активістів це може становити пряму загрозу, особливо в умовах державного тиску або переслідувань.
2. Організація мережевих атак (DDoS). Маючи IP-адресу жертви, зловмисник здатен спрямувати масований трафік на її підключення, що призведе до відмови в обслуговуванні, падіння швидкості Інтернету та потенційних збоїв у роботі домашньої чи корпоративної мережі.
3. Поглиблена деанонімізація. IP часто поєднують з іншими ідентифікаторами: акаунтами в соцмережах, часовими мітками активності, моделлю пристрою. Це дозволяє пов’язувати різні онлайн-профілі між собою та зіставляти їх з реальною особою, що вже неодноразово демонстрували як правоохоронні органи, так і кіберзлочинні групи.
Саме тому механізми фонових підключень без явної згоди користувача особливо критичні для тих, хто розраховує на підвищену конфіденційність та анонімність спілкування.
Хто повідомив про проблему та як відреагував Telegram
На нетипову поведінку посилань MTProto‑proxy спочатку звернули увагу учасники Telegram‑каналу chekist42. Після цього до детального аналізу приєдналися інші дослідники, зокрема фахівець під псевдонімом 0x6rss, який опублікував відеодемонстрацію атаки та процесу витоку IP-адреси.
У коментарі виданню BleepingComputer представники Telegram наголосили, що власники сайтів і проксі‑серверів завжди бачать IP‑адреси відвідувачів, і це не є особливістю саме цього мессенджера. Подібна модель характерна для більшості веб‑сервісів та онлайн‑платформ.
Водночас компанія визнала необхідність підвищення прозорості та пообіцяла додати попередження при відкритті проксі‑посилань, аби користувачі уважніше ставилися до URL, на які переходять. Конкретних термінів впровадження цього механізму наразі не названо.
Як захистити IP-адресу в Telegram: практичні поради
1. Уникати підозрілих посилань. Варто критично ставитися до будь-яких URL у чатах, особливо якщо вони замасковані під юзернейми, скорочені посилання або надходять від невідомих контактів та новостворених каналів.
2. Перевіряти реальний формат адреси. Перед кліком доцільно подивитися, куди саме веде посилання: якщо замість профілю чи каналу у рядку адреси видно t.me/proxy, то це налаштування проксі-сервера, а не звичайний перехід у чат.
3. Використовувати надійний VPN або Tor. Підключення до Інтернету через перевірений VPN‑сервіс чи мережу Tor дозволяє приховати реальну IP‑адресу від сторонніх серверів, включно з потенційно шкідливими MTProto‑proxy. У такому випадку атакувальник побачить IP‑адресу VPN‑вузла або вихідного вузла Tor.
4. Мінімізувати використання сторонніх проксі. Для обходу блокувань бажано віддавати перевагу офіційним або перевіреним каналам доступу, а не випадковим проксі‑конфігураціям з відкритих джерел. Кожен проксі‑сервер слід сприймати як потенційно недовірену інфраструктуру.
5. Підтримувати цифрову гігієну. Регулярний перегляд налаштувань приватності, обережне поводження з посиланнями, оновлення застосунків та використання багаторівневого захисту (VPN, шифрування, менеджери паролів) суттєво знижують ризики витоку чутливої інформації.
Ситуація з витоком IP‑адреси через MTProto‑proxy у Telegram ще раз демонструє, що навіть зручні функції на кшталт автоматичної конфігурації проксі можуть перетворитися на вектор атаки через неочевидну логіку роботи. Щоб зберегти конфіденційність та анонімність, користувачам варто уважно ставитися до будь‑яких посилань у месенджерах, стежити за оновленнями безпеки та впроваджувати додаткові рівні захисту свого з’єднання. Це не усуне всі ризики, але суттєво ускладнить життя тим, хто намагається деанонімізувати або атакувати вас через мережеву інфраструктуру.
