Telegram代理链接可被利用“一键”取得您的 IP 地址
安全研究人员本周演示显示,当用户点击一个特制的内部链接时,Android 和 iOS 平台的 Telegram 客户端会自动尝试连接到代理服务器。
这些链接可以伪装成普通用户名(例如在消息中显示为
当在 Telegram 中打开该链接时,应用会读取代理参数,并提示用户将该代理添加到其设置中。在 Telegram 的 Android 和 iOS 客户端上,打开代理链接还会触发一次自动测试连接,导致应用在代理被正式添加之前,就从用户设备向指定服务器发起直接网络请求。
攻击者可以利用这一机制,通过搭建自己的 MTProto 代理,并分发在视觉上伪装成无害用户名或网站 URL、但实际上指向代理配置端点的链接来进行攻击。如果用户在移动客户端上点击此类链接,Telegram 应用将尝试连接到由攻击者控制的服务器,从而允许代理运营者记录用户的真实 IP 地址。
—— BleepingComputer
安全研究人员本周演示显示,当用户点击一个特制的内部链接时,Android 和 iOS 平台的 Telegram 客户端会自动尝试连接到代理服务器。
这些链接可以伪装成普通用户名(例如在消息中显示为
@durov),但实际上却指向一个 Telegram 代理链接。Telegram 代理链接(t.me/proxy?...)是用于在 Telegram 客户端中快速配置 MTProto 代理的特殊 URL。它们允许用户通过点击链接来添加代理,而无需手动输入服务器详细信息。当在 Telegram 中打开该链接时,应用会读取代理参数,并提示用户将该代理添加到其设置中。在 Telegram 的 Android 和 iOS 客户端上,打开代理链接还会触发一次自动测试连接,导致应用在代理被正式添加之前,就从用户设备向指定服务器发起直接网络请求。
攻击者可以利用这一机制,通过搭建自己的 MTProto 代理,并分发在视觉上伪装成无害用户名或网站 URL、但实际上指向代理配置端点的链接来进行攻击。如果用户在移动客户端上点击此类链接,Telegram 应用将尝试连接到由攻击者控制的服务器,从而允许代理运营者记录用户的真实 IP 地址。
—— BleepingComputer
