Мобильные приложения Telegram могут раскрыть IP-адрес через прокси-ссылкиИсследователь безопасности обнаружил, что мобильные версии Telegram не предупреждают пользователей о возможном раскрытии IP-адреса при переходе по ссылкам для подключения прокси. Это
не несёт существенной опасности для обычных пользователей, но нежелательно для тех, кто опасается слежки.
Суть проблемыОбычно при нажатии на внешнюю ссылку или небезопасный файл мессенджер показывает всплывающее окно с предупреждением о переходе. Однако клик по ссылке на прокси обрабатывается иначе: приложение сразу пытается соединиться с сервером для проверки его доступности, минуя предупреждение.
Злоумышленник может замаскировать такую ссылку под юзернейм или другую гиперссылку. В момент нажатия приложение отправляет запрос на сервер, подконтрольный злоумышленнику, тем самым раскрывая IP-адрес пользователя.
• Проблема затрагивает
только клиенты для Android и iOS.
• Редакция @tginfo независимо подтвердила, что Telegram Desktop, Telegram для macOS, Telegram X и веб-версии обрабатывают такие ссылки безопасно и не подключаются к прокси-серверам автоматически.
Риск невеликВажно отметить, что для большинства пользователей риск не является критическим. IP-адрес, как правило, позволяет определить лишь приблизительное местоположение (на уровне города), а у многих пользователей он является динамическим.
Подобные недочёты, такие как EvilLoader, ранее уже исправлялись командой Telegram. Редакция @tginfo полагает, что разработчики могут отключить автоматическую проверку для прокси, открытых из форматированных ссылок, в ближайших обновлениях.
Тем, для кого приватность IP-адреса критически важна, мы рекомендуем использовать VPN на уровне всей системы. Это единственный надёжный способ предотвратить утечку IP-адреса в приложениях.
#безопасность
