Telegram 移动客户端(包括 Android 和 iOS 版本)中被发现存在一个隐蔽的安全漏洞。攻击者仅需诱导用户进行一次点击,即可获取其真实 IP 地址,即使该用户正在使用代理(如 SOCKS5、MTProto 或 VPN)试图隐藏身份。这一漏洞被称为“一键 IP 泄露”,能够将聊天中看似无害的用户名链接转变为功能强大的追踪工具。
问题的根源在于 Telegram 应用的自动代理校验机制。当用户在客户端中遇到一个被伪装成用户名的代理配置链接(例如 t.me/proxy?server= 后接攻击者控制的服务器地址)时,应用在尝试添加此代理之前,会首先向该服务器发起一个连通性测试。
关键风险点在于,这次用于测试的连通性探测请求,会绕过用户当前已配置的所有代理设置,直接使用设备的原始网络连接发起。这就导致请求的来源 IP 地址直接暴露了用户的真实公网 IP。整个过程无需任何密钥或复杂交互,其原理类似于 Windows 系统上曾出现的 NTLM 哈希泄露——认证尝试本身就会暴露客户端的身份信息。
攻击过程还原
攻击者可以轻松构造一个恶意的代理 URL,并将其嵌入到聊天消息、频道帖子或群组中,伪装成一个普通的可点击用户名。当目标用户点击该链接时,将自动触发以下过程:
- 自动代理测试:Telegram 客户端立即向攻击者控制的服务器发送一个代理连通性探测请求。
- 代理绕过:该探测请求忽略设备上设置的所有 SOCKS5、MTProto 代理或 VPN,直接通过设备的原生网络栈发出。
- IP 记录:攻击者的服务器会轻松捕获到该请求的来源 IP 地址、大致地理位置及其他网络元数据。
此次漏洞影响范围覆盖了 Android 与 iOS 两大平台的 Telegram 客户端,波及大量依赖 Telegram 进行隐私敏感通信的用户群体。除了点击链接外,攻击不需要受害者进行任何其他交互。整个过程安静且高效,可被用于人肉搜索、监控或对特定活动人士进行去匿名化操作。
这一漏洞凸显了高度依赖代理应用所潜在的设计风险,尤其是在全球范围内国家级监控能力不断提升的背景下。拥有超过 9.5 亿用户的 Telegram,截至目前尚未官方公开修复此问题。
对于攻击者而言,该漏洞的利用成本极低:无需常规的漏洞利用代码、无需代码执行权限、无需中间人攻击、也无需权限提升。仅仅一次点击即可完成,且不会在客户端留下明显痕迹,不会触发任何安全警告,普通用户难以察觉。因此,该漏洞尤其适合于进行定向追踪和去匿名化,例如针对记者、研究人员或维权人士进行线上身份与线下身份的关联画像。
临时解决方案
在 Telegram 官方发布修复更新之前,用户目前只能采取以下被动防御措施:
1. 行为层面
不点击来自陌生用户、频道或私聊中的任何“用户名”或“代理链接”,特别是那些看起来像普通用户名但实则可点击的内容。保持对不明链接的高度警惕是首要防线。
2. 网络层面
可以考虑使用系统级防火墙工具,强制 Telegram 应用的所有出站网络流量只能通过指定的 VPN 或虚拟网卡(tun 设备)路由,从系统层面杜绝直连泄露的可能。同时,密切关注 Telegram 官方发布渠道的更新日志,以便在补丁发布后第一时间更新应用。
3. 风险意识
需要明确认识到,Telegram 的“端到端加密”(仅在秘密聊天中启用)主要保护的是通信内容不被窃听,并不等于网络匿名。不应将 Telegram 默认视为“强匿名工具”,需对其潜在的网络层隐私风险有充分了解。
目前,关于此漏洞的详细技术分析和缓解策略仍在Android与iOS 开发及安全社区中持续讨论。对于注重隐私的用户,结合多重防护措施并保持软件更新至关重要。你可以在云栈社区的技术安全板块找到更多相关的深度讨论和解决方案。 | 
发表于 昨天 23:02
|
查看: 2|
回复: 0
