Telegram может раскрыть IP-адрес пользователя через ссылки

Согласно данным исследования, в мессенджере Telegram существует метод деанонимизации абонентов с использованием специальных прокси-ссылок. Эксперты установили, что для раскрытия реального IP-адреса может быть достаточно единичного нажатия на ссылку формата t.me/proxy, причём это происходит без предупреждения или согласия пользователя.

При клике по подобной ссылке клиенты Telegram на платформах Android и iOS автоматически инициируют фоновую проверку доступности указанного прокси-сервера. Данный запрос отправляется напрямую с устройства до момента добавления прокси в настройки приложения и без какого-либо оповещения пользователя. В результате администратор целевого сервера фиксирует в журналах подключений реальный IP-адрес пользователя, совершившего переход.

Особую опасность представляет возможность маскировки таких ссылок. В переписке они могут отображаться как стандартное упоминание через @username или казаться безобидным URL, однако фактически ведут на скрытую прокси-конфигурацию. Практические демонстрации данной техники уже были обнародованы несколькими OSINT-специалистами и независимыми исследователями.

Получение реального IP-адреса позволяет злоумышленникам установить приблизительное географическое положение жертвы, осуществить целенаправленную кибератаку на устройство или сеть, организовать распределённую атаку на отказ в обслуживании (DDoS), а также использовать эти данные для дальнейшего сбора информации и составления профиля пользователя.

Официальные представители мессенджера, комментируя ситуацию для издания BleepingComputer, не классифицировали данный механизм как полноценную уязвимость, однако сообщили о планах по внедрению специального предупреждающего уведомления перед переходом по подобным ссылкам в будущих обновлениях.

До реализации этих изменений пользователям рекомендуется соблюдать повышенную осторожность и избегать переходов по непроверенным или вызывающим подозрение ссылкам в Telegram, даже если их внешний вид не вызывает опасений.