Um único clique em um link que parece ser um nome de usuário do Telegram ou um endereço inofensivo já pode expor o endereço IP real do usuário a possíveis atacantes, devido à forma como a plataforma processa links de proxy.
O Telegram informou que começará a exibir alertas ao abrir links de proxy, após pesquisadores de segurança demonstrarem que links especialmente criados podem revelar o IP verdadeiro do usuário sem qualquer confirmação prévia.
Nesta semana, especialistas mostraram que os clientes do Telegram para Android e iOS tentam automaticamente se conectar a um proxy quando o usuário clica em um link interno malicioso.
Esses links podem estar camuflados como nomes de usuário comuns, como @durov, dentro de mensagens, mas, na verdade, redirecionam para um link de proxy do Telegram.
Links de proxy no Telegram (t.me/proxy?...) são URLs usadas para configurar rapidamente proxies MTProto no aplicativo.
Eles permitem que o usuário adicione um proxy clicando no link, sem a necessidade de digitar manualmente os detalhes do servidor:
https://t.me/proxy?server=[endereço IP ou hostname]&port=[porta]&secret=[segredo_MTProto]
Ao abrir esse link no Telegram, o app lê os parâmetros do proxy (servidor, porta e segredo) e pergunta ao usuário se deseja adicionar a configuração às suas preferências.
Esses links são amplamente compartilhados para ajudar usuários a contornar bloqueios de rede ou censura na internet, além de proteger sua localização, especialmente em ambientes com restrições rigorosas.
Por isso, são muito usados por ativistas, jornalistas e pessoas que buscam anonimato.
No entanto, nas versões do Telegram para Android e iOS, ao abrir um link de proxy, o aplicativo realiza automaticamente uma conexão de teste, enviando uma requisição direta do dispositivo para o servidor especificado, mesmo antes do usuário confirmar a adição do proxy.
Atacantes podem explorar esse comportamento criando seus próprios proxies MTProto e disseminando links que parecem ser nomes de usuário ou URLs comuns, mas que, na prática, apontam para servidores controlados por eles.
Quando um usuário toca nesses links em dispositivos móveis, o Telegram tenta se conectar ao servidor malicioso, permitindo que o operador do proxy registre o endereço IP real do usuário.
Com essas informações, é possível aproximar a localização do usuário, realizar ataques de negação de serviço (DoS) ou executar outras ações direcionadas.
O problema veio à tona pelo canal russo chekist42 no Telegram, que compartilhou um link PoC disfarçado demonstrando a falha:
https://t[.]me/proxy?server=1.1.1.1&port=53&secret=SubscribeToGangExposed_int
O pesquisador responsável explicou: “Quando isso acontece, o Telegram envia um ping automático ao proxy antes de adicioná-lo.
Essa requisição ignora quaisquer proxies configurados, e o IP real do usuário é imediatamente registrado.”
“O ataque é silencioso e altamente eficaz.”
Outra demonstração do problema foi feita pela conta 0x6rss, especializada em pesquisa de segurança e OSINT, que publicou um vídeo mostrando a exploração da vulnerabilidade.
O pesquisador comparou essa falha a vazamentos de hash NTLM no Windows, em que um único clique em um recurso malicioso pode disparar uma requisição automática sem que o usuário perceba.
De modo geral, o vazamento do endereço IP expõe o usuário a rastreamento de localização, criação de perfis e ataques direcionados.
Neste caso, a falha exige apenas um clique, sem qualquer aviso ou confirmação extra, podendo ser usada para comprometer o anonimato de alvos específicos.
o Telegram declarou que qualquer site ou proxy pode ver o IP de quem acessa e que isso não é algo exclusivo da plataforma nem mais grave do que em outros aplicativos de mensagem.
“Qualquer dono de site ou proxy consegue visualizar o IP de visitantes, independentemente da plataforma usada”, afirmou um representante do Telegram.
“Isso não é algo mais relevante no Telegram do que no WhatsApp ou em qualquer outro serviço que use a internet.”
Ainda assim, a empresa anunciou que incluirá avisos ao abrir links de proxy para alertar os usuários sobre a possibilidade de links disfarçados.
Até o momento, o Telegram não informou quando esse recurso será implementado nos aplicativos.
Enquanto isso, recomenda-se que os usuários tenham cautela ao clicar em nomes de usuário e links que redirecionam para domínios t.me, pois links de proxy mascarados podem revelar inadvertidamente o endereço IP real.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...