(https://i.postimg.cc/SQBnth37/Telegram_hacker.png) (https://postimages.org/)
Un simple clic en lo que parece ser un nombre de usuario de Telegram o un enlace inofensivo es suficiente para exponer su dirección IP real a los atacantes debido a la forma en que se gestionan los enlaces de proxy.
Telegram ha comunicado a BleepingComputer que ahora añadirá advertencias a los enlaces de proxy después de que los investigadores demostraran que se podían utilizar enlaces especialmente diseñados para revelar la dirección IP real de un usuario de Telegram sin necesidad de confirmación adicional.
Tenga cuidado con los enlaces de Telegram
Investigadores de seguridad han demostrado esta semana que los clientes de Telegram, tanto en Android como en iOS, intentan conectarse automáticamente a un proxy cuando un usuario pulsa un enlace interno especialmente diseñado.
Estos enlaces pueden estar disfrazados como nombres de usuario comunes, por ejemplo, apareciendo como @durov en un mensaje de Telegram, pero en realidad conducen a un enlace de proxy de Telegram.
Los enlaces de proxy de Telegram (t.me/proxy?...) son URL especiales que se utilizan para configurar rápidamente proxies MTProto en los clientes de Telegram. Permiten a los usuarios agregar un proxy haciendo clic en un enlace en lugar de ingresar manualmente los detalles del servidor:
https://t.me/proxy?server=[dirección IP/nombre de host del proxy]&port=[puerto_del_proxy]&secret=[secreto_MTProto]
Al abrirse en Telegram, la aplicación lee los parámetros del proxy (incluidos el servidor, el puerto y el secreto) y solicita al usuario que agregue el proxy a su configuración.
Estos enlaces se comparten ampliamente para ayudar a los usuarios a eludir bloqueos de red o censura de internet y para ocultar su ubicación real, particularmente en entornos restrictivos, lo que hace que esta función sea valiosa para activistas, periodistas y otras personas que buscan el anonimato.
En los clientes de Telegram para Android e iOS, al abrir un enlace de proxy también se activa una prueba de conexión automática, lo que hace que la aplicación inicie una solicitud de red directa desde el dispositivo del usuario al servidor especificado antes de que se agregue el proxy.
Los atacantes pueden abusar de este comportamiento configurando sus propios proxies MTProto y distribuyendo enlaces que están visualmente disfrazados como nombres de usuario inofensivos o URL de sitios web, pero que en realidad apuntan a puntos finales de configuración de proxy.
Si un usuario hace clic en dicho enlace en un cliente móvil, la aplicación Telegram intentará conectarse al servidor controlado por el atacante, lo que permite al operador del proxy registrar la dirección IP real del usuario.
La dirección IP expuesta podría usarse para inferir la ubicación aproximada de un usuario, lanzar ataques de denegación de servicio o facilitar otros tipos de abuso dirigidos.
El problema fue revelado por un canal de Telegram en ruso, chekist42 en https://t.me/chekist42/139:
Publicación de Telegram que reveló el problema por primera vez
(https://www.bleepstatic.com/images/news/u/1164866/2026/Jan/telegram-proxy-ip/telegram-username-real-link.jpg)
El enlace de prueba de concepto camuflado que se muestra en la publicación fue compartido por la cuenta de X GangExposed RU, lo que atrajo mayor atención al problema:
https://t[.]me/proxy?server=1.1.1.1&port=53&secret=SubscribeToGangExposed_int
"Lo que sucede a continuación", explica el investigador, "es que Telegram realiza una comprobación automática del proxy antes de agregarlo; la solicitud omite todos los proxies configurados y su dirección IP real queda registrada al instante".
"Un ataque dirigido, silencioso y efectivo"
0x6rss, una cuenta de investigación de seguridad e inteligencia de fuentes abiertas (OSINT) en X, demostró aún más el problema con un video de prueba de concepto:
https://twitter.com/i/status/2009977902662590787
El investigador comparó este comportamiento con las filtraciones de hashes NTLM en Windows, donde una sola interacción con un recurso manipulado puede desencadenar una solicitud saliente automática sin que el usuario se dé cuenta.
En general, la divulgación de la dirección IP puede permitir el rastreo de la ubicación, la elaboración de perfiles y los ataques dirigidos.
En este caso, la vulnerabilidad solo requiere un clic y ninguna confirmación adicional, lo que la hace adecuada para la desanonimización selectiva.
Telegram minimiza el problema, pero advertirá a los usuarios
BleepingComputer se puso en contacto con Telegram para preguntar si considera este comportamiento una vulnerabilidad.
La compañía afirmó que cualquier sitio web o operador de proxy puede ver la dirección IP de los visitantes y que esto no es exclusivo de Telegram en comparación con otras plataformas de mensajería.
"Cualquier sitio web o propietario de un proxy puede ver la dirección IP de quienes acceden a él, independientemente de la plataforma", declaró un portavoz de Telegram.
"Esto no es más relevante para Telegram que para WhatsApp o cualquier otro servicio que acceda a internet".
"Dicho esto, añadiremos una advertencia que se mostrará al hacer clic en los enlaces de proxy para que los usuarios sean más conscientes de los enlaces disfrazados".
Telegram no respondió a las preguntas posteriores sobre cuándo se implementará la advertencia en las aplicaciones cliente.
Mientras tanto, se recomienda a los usuarios que tengan precaución con los nombres de usuario de Telegram y los enlaces que dirigen a dominios t.me, ya que hacer clic en enlaces de proxy disfrazados podría revelar involuntariamente su dirección IP real.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/hidden-telegram-proxy-links-can-reveal-your-ip-address-in-one-click/