一位安全研究人员发现,Telegram移动应用在用户点击快速代理设置链接时不会发出IP地址泄露警告。虽然这对普通用户来说并非重大风险,但对于那些担心被监视的用户而言,这却是一个隐患。
核心问题
通常情况下,点击外部链接或不安全文件会触发警告弹窗。然而,点击快速代理设置链接的处理方式却有所不同:应用会立即尝试连接服务器以检查其可用性,完全绕过警告。
攻击者可以将此类链接伪装成用户名或其他超链接。一旦用户点击,应用就会向攻击者控制的服务器发送请求,从而泄露用户的 IP 地址。
- 此问题仅影响 Android 和 iOS 客户端。
- Telegram的桌面版、macOS版、Telegram X版和网页版能够安全地处理这些链接,不会自动连接到代理服务器。
风险较低
值得注意的是,对于大多数用户而言,这个问题并不严重。IP地址通常只能显示大致位置(城市级别),而且许多用户使用的是动态IP地址。
Telegram团队过去曾修复过类似的漏洞,例如EvilLoader。我们认为开发者可能会在未来的更新中禁用对通过格式化链接打开的代理服务器的自动检查。
对于那些非常重视IP隐私的用户,我们建议使用系统级VPN。这是防止IP地址在应用程序之间泄露的唯一可靠方法。