Исследователи безопасности выявили особенность работы Telegram для Android и iOS, которая позволяет злоумышленникам получить реальный IP-адрес пользователя всего по одному клику на специально оформленную ссылку. Механизм атаки использует способ, которым мессенджер обрабатывает ссылки конфигурации MTProto‑прокси вида t.me/proxy?…, и не требует от жертвы дополнительных действий или подтверждений.
Новая уязвимость Telegram: утечка IP через MTProto‑прокси
В основе проблемы лежит логика обработки прокси-ссылок Telegram. Такие URL позволяют автоматически настроить MTProto‑прокси в клиенте: пользователь нажимает на ссылку, Telegram извлекает параметры (адрес сервера, порт, секретный ключ) и предлагает добавить прокси в настройки. Это удобный механизм, широко применяемый для обхода блокировок и цензуры.
Однако анализ показал, что при открытии подобной прокси-ссылки мобильные клиенты Telegram на Android и iOS автоматически инициируют тестовое подключение к указанному MTProto‑серверу ещё до того, как пользователь подтвердит добавление прокси. Этот сетевой запрос отправляется напрямую с устройства, раскрывая реальный IP-адрес владельцу прокси-сервера.
Как работает атака через прокси-ссылку t.me/proxy
Механизм автоматического тестового подключения
Когда ссылка формата t.me/proxy?server=…&port=…&secret=… открывается в приложении, Telegram выполняет проверку доступности сервера. Такое поведение логично с точки зрения удобства — клиент заранее убеждается, что указанный прокси «живой» и корректно отвечает.
Проблема в том, что этот тестовый запрос отправляется без какого-либо диалога с пользователем. Соответственно, оператор прокси (или злоумышленник, подменивший ссылку) сразу получает IP-адрес инициатора подключения вместе с базовой сетевой информацией (например, используемым провайдером, регионом и примерным городом при стандартной IP-геолокации).
Маскировка вредоносной ссылки под обычный юзернейм
Дополнительный риск создаёт возможность маскировать вредоносную прокси-ссылку под привычный формат, например, под упоминание аккаунта. В интерфейсе пользователя отображается строка вида @durov, но фактический URL указывает на t.me/proxy?… , ведущий на сервер злоумышленников.
После клика Telegram немедленно связывается с указанным MTProto‑сервером, и атакующий получает реальный IP-адрес жертвы, даже если впоследствии пользователь отменит добавление прокси. Таким образом, для утечки IP достаточно одного взаимодействия с вредоносной ссылкой.
Чем опасна утечка IP-адреса в Telegram
IP-адрес сам по себе не раскрывает полные личные данные, однако в современных условиях он является важным элементом цифрового профиля пользователя. Зная IP, злоумышленник может:
1. Определить примерное местоположение. Сервисы IP-геолокации позволяют с разумной точностью установить страну, регион и город подключения. Для журналистов, активистов, оппозиционных деятелей такая информация может представлять повышенный риск.
2. Организовать сетевую атаку (DDoS). Направленный трафик на IP-адрес пользователя способен вывести из строя его соединение, атаковать домашний маршрутизатор или корпоративную сеть, если доступ осуществляется из офиса.
3. Усилить деанонимизацию. IP-адрес часто используется в сочетании с другими идентификаторами (учётными записями, временными метками, паттернами активности) для сопоставления онлайн-профилей и дальнейшей корреляции с реальной личностью.
Именно поэтому эксперты подчёркивают, что подобные механизмы автоматических фоновых подключений без явного уведомления пользователя особенно критичны для тех, кто рассчитывает на анонимность и приватность общения в условиях давления или цензуры.
Кто обнаружил уязвимость и как отреагировал Telegram
На странное поведение прокси-ссылок впервые обратили внимание участники Telegram-канала chekist42. Позже к разбору проблемы подключились и другие исследователи, включая специалиста под псевдонимом 0x6rss, опубликовавшего видеодемонстрацию атаки и процесса утечки IP-адреса.
Представители Telegram в комментарии для издания BleepingComputer отметили, что владельцы сайтов и прокси-серверов в принципе видят реальные IP-адреса посетителей, и это не является чем-то уникальным для данного мессенджера. По их словам, подобная модель применима и к другим популярным сервисам, включая мессенджеры и веб‑платформы.
Тем не менее, компания признала важность повышения прозрачности и пообещала добавить предупреждение при открытии прокси-ссылок, чтобы пользователи уделяли больше внимания тому, на какие именно URL они переходят. Конкретные сроки внедрения такого уведомления пока не раскрываются.
Рекомендации пользователям Telegram по защите IP-адреса
С учётом описанного сценария атаки, пользователям Telegram, особенно из групп повышенного риска, имеет смысл принять дополнительные меры предосторожности:
1. Не открывать подозрительные ссылки. С осторожностью относиться к любым URL в чатах, особенно если они замаскированы под никнеймы или сокращённые ссылки и исходят от незнакомых контактов или новых каналов.
2. Внимательно проверять формат ссылок. Перед нажатием стоит посмотреть на реальный адрес: если вместо профиля или канала используется t.me/proxy, фактически происходит настройка прокси-сервера, а не переход к аккаунту.
3. Использовать надёжный VPN или Tor. Подключение через проверенный VPN-сервис или анонимизирующие сети позволяет скрыть реальный IP-адрес от сторонних серверов, включая потенциально вредоносные MTProto‑прокси.
4. Ограничить использование сторонних прокси. Для обхода блокировок по возможности применять официальные способы доступа или прокси от доверенных операторов, а не случайные конфигурации из открытых источников.
Обнаруженная особенность Telegram ещё раз демонстрирует, что даже удобные и привычные механизмы — вроде автоконфигурации прокси по ссылке — могут становиться вектором атаки при неочевидной логике работы. Осознанное отношение к безопасности, внимательность к ссылкам и использование дополнительных уровней защиты соединения остаются ключевыми элементами цифровой гигиены для всех, кто рассчитывает на конфиденциальность и анонимность общения в мессенджерах.
