Прокси-ссылки в мобильном Telegram могут раскрывать IP без ведома пользователя

Исследователи обнаружили, что мобильные приложения Telegram на Android и iOS могут раскрывать IP-адрес пользователя при автоматическом переходе по прокси-ссылкам. В компании подтвердили факт передачи IP стороннему серверу, отметив, что владелец прокси всегда видит подключающихся.

Проблема заключается в логике работы приложения: обычные ссылки требуют подтверждения перед открытием, а прокси-ссылки проверялись автоматически, сразу устанавливая соединение. Это позволяло злоумышленникам маскировать ссылку под нейтральный текст и получать данные о пользователях без их ведома. Десктопные и веб-версии Telegram такой схемы не используют.

Жан Люк Антуан, генеральный директор IT компании Say See Show и изобретатель нового мессенджера iCanText, работающего без центрального сервера, прокомментировал ситуацию: «Раскрытие IP-адреса - это не просто технический нюанс, а утечка метаданных, которая может представлять серьёзную угрозу для приватности. IP-адрес может раскрывать ваше приблизительное местоположение, вашего интернет‑провайдера, временную метку подключения, а также прямую связь с тематикой URL.

IP-адрес можно сопоставлять и коррелировать с активностью в других инструментах, на форумах и платформах.

В большинстве случаев это безвредно, так как эти данные не используются. Однако если злоумышленник эксплуатирует такую информацию, он может определить ваши привычки, периоды активности, понять, находитесь ли вы дома, а также ваши центры интересов.

Атакующий может разместить ссылку на веб‑страницу в Telegram‑канале. Функция предварительного просмотра автоматически запрашивает страницу, даже если вы не нажимаете на ссылку, чтобы отобразить превью. В этот момент сервер страницы получает ваш IP‑адрес. Таким образом, вы можете быть скомпрометированы, даже не совершив ни одного клика.

Если другие участники просматривают то же сообщение (не переходя по ссылке, а просто читая тот же канал), становится возможным сопоставление пользователей и их географического положения с помощью таких ссылок, даже если канал является приватным..

Именно поэтому мессенджеры с повышенным уровнем конфиденциальности, такие как iCanText, защищают не только содержимое сообщений, но и метаданные».

Эта ситуация подчёркивает критическую уязвимость в Telegram: даже без взаимодействия пользователя приложение может раскрывать такие данные, как IP-адрес и метаданные соединения. Это напоминает, что конфиденциальность в популярных мессенджерах зависит не только от шифрования сообщений, но и от того, как приложения обрабатывают сетевые запросы и внешние ссылки, особенно учитывая роль серверов в архитектуре мессенджера. Пользователи должны понимать, что каждый клик, или даже его отсутствие, может потенциально поставить под угрозу их анонимность и кибербезопасность.