江蘇
關鍵詞
IP暴露
Telegram移動客戶端中存在一個隱蔽漏洞,允許攻擊者僅需一次點擊即可揭露用戶的真實IP地址,即使是那些隱藏在代理之后的用戶也不例外。該漏洞被稱為”一鍵IP泄露”,它將看似無害的用戶名鏈接變成了強大的追蹤武器。
問題的核心在于Telegram的自動代理驗證機制。當用戶遇到一個偽裝的代理鏈接時(通常隱藏在用戶名后,例如t.me/proxy?server=attacker-controlled),應用程序在添加代理服務器之前會先對其進行”ping”操作測試連通性。
至關重要的是,這個”ping”請求會繞過所有用戶配置的代理,直接從受害者的設備路由出去,從而暴露其真實IP。此過程不需要密鑰,類似于Windows上的NTLM哈希泄露——認證嘗試本身就會暴露客戶端信息。
網絡安全專家 @0x6rss 在X上演示了一個攻擊向量,并分享了一個概念驗證:一鍵Telegram IP泄露。”Telegram在添加代理前會自動ping該代理,”他們指出。”該請求會繞過所有已配置的代理。你的真實IP會被立即記錄。”
攻擊如何展開
攻擊者制作惡意代理URL,并將其偽裝成聊天或頻道中的可點擊用戶名。目標用戶點擊一次后,將觸發:
自動代理測試:Telegram向攻擊者的服務器發送連通性探測請求。
代理被繞過:該請求忽略SOCKS5、MTProto或VPN設置,使用設備的原生網絡棧。
IP被記錄:攻擊者的服務器捕獲來源IP、地理位置和元數據。
Android和iOS客戶端均受影響,波及數百萬依賴Telegram進行敏感隱私通信的用戶。除了點擊外,無需任何其他用戶交互;該漏洞隱蔽且有效,可用于人肉搜索、監控或使活動人士去匿名化。
在政府資助的追蹤活動日益增加的背景下,這一漏洞凸顯了重度依賴代理的應用程序所面臨的風險。Telegram擁有超過9.5億用戶,目前尚未公開修補此漏洞。過去,Signal等應用程序也曾受到類似旁路問題的困擾。
緩解措施
在設置中禁用自動代理檢測(如果可用)。
避免點擊未知的用戶名/鏈接。
使用防火墻規則阻止出站代理ping請求(例如,在iOS上使用Little Snitch或在Android上使用AFWall+)。
通過Telegram的更新日志監控補丁發布。
研究人員敦促立即修復。截至發稿時,Telegram尚未對置評請求作出回應。
安全圈
網羅圈內熱點 專注網絡安全
實時資訊一手掌握!
好看你就分享 有用就點個贊
支持「安全圈」就點個三連吧!
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
