Aplicativos móveis do Telegram podem revelar o endereço IP por meio de links de proxy

Um pesquisador de segurança descobriu que as versões móveis do Telegram não alertam os usuários sobre a possível exposição do endereço IP ao clicar em links de conexão com proxies. Isso não representa um perigo significativo para usuários comuns, mas é indesejável para quem se preocupa com vigilância.

Essência do problema

Normalmente, ao tocar em um link externo ou em um arquivo potencialmente inseguro, o mensageiro exibe um aviso em uma janela pop-up. No entanto, cliques em links de proxy são tratados de forma diferente: o aplicativo tenta imediatamente se conectar ao servidor para verificar sua disponibilidade, ignorando o aviso.

Um invasor pode disfarçar esse tipo de link como um nome de usuário ou outro hyperlink. No momento do clique, o aplicativo envia uma solicitação ao servidor controlado pelo atacante, revelando assim o endereço IP do usuário.

• O problema afeta apenas os clientes para Android e iOS.
• A equipe do @tginfo confirmou de forma independente que o Telegram Desktop, o Telegram para macOS, o Telegram X e as versões web tratam esses links de forma segura e não se conectam automaticamente a servidores proxy.

O risco é baixo

É importante observar que, para a maioria dos usuários, o risco não é crítico. Em geral, o endereço IP permite identificar apenas a localização aproximada (em nível de cidade), e muitos usuários utilizam IPs dinâmicos.

Falhas semelhantes, como o EvilLoader, já foram corrigidas anteriormente pela equipe do Telegram. A redação do @tginfo acredita que os desenvolvedores podem desativar a verificação automática de proxies abertos a partir de links formatados em futuras atualizações.

Para quem considera a privacidade do endereço IP algo crítico, recomenda-se o uso de uma VPN em nível de sistema. Essa é a única forma confiável de evitar o vazamento do IP em aplicativos.