Исследователь безопасности выяснил, что мобильные версии Telegram позволяют раскрыть IP-адреса при переходе по ссылкам для подключения прокси. Это представляет риск для тех, кто опасается слежки.
По клику на внешнюю ссылку или небезопасный файл обычно мессенджер показывает всплывающее окно с предупреждением о переходе. Однако при переходе по ссылке на прокси приложение сразу пытается соединиться с сервером для проверки его доступности, минуя предупреждение. Этим потенциально могут воспользоваться злоумышленники, чтобы замаскировать её под юзернейм или другую гиперссылку.
При этом приложение отправит запрос на подконтрольный сервер, раскрывая IP-адрес пользователя.
Проблема затрагивает только клиенты для Android и iOS, а Telegram Desktop, версии для macOS, Telegram X и веб-версии не подключаются к прокси-серверам автоматически.
При этом для большинства пользователей риск невелик, так как IP-адрес, как правило, позволяет определить лишь приблизительное местоположение на уровне города, а у многих он является динамическим.
Разработчики в ближайших апдейтах смогут отключить автоматическую проверку для прокси, открытых из форматированных ссылок. Тем же, кто опасается за приватность IP-адреса, рекомендуется использовать VPN на уровне всей системы.
В январе вышло обновление Telegram, в котором представили новый дизайн приложения в стиле «жидкое стекло» на iOS, а также добавили функцию краткого пересказа длинных публикаций в каналах с помощью ИИ.
