BleepingComputer rapporte qu’une démonstration de chercheurs révèle qu’un simple clic sur un lien proxy Telegram (t.me/proxy) déguisé peut exposer l’adresse IP réelle d’un utilisateur, en raison d’un test de connexion automatique effectué par les clients Android et iOS.

Le comportement en cause: l’ouverture d’un lien proxy Telegram (t.me/proxy?server=…&port=…&secret=…) déclenche sur mobile un test de connexion automatique vers le serveur indiqué, avant même l’ajout du proxy et sans confirmation supplémentaire. Cette requête part directement depuis l’appareil et peut contourner les proxys déjà configurés, permettant à l’opérateur du proxy de journaliser l’IP réelle de l’utilisateur.

Les liens malveillants peuvent être déguisés pour ressembler à des usernames Telegram (ex. « @durov ») ou à des URL anodines, tout en pointant en réalité vers un endpoint de configuration de proxy MTProto contrôlé par l’attaquant. Les chercheurs comparent ce mécanisme à des fuites NTLM sur Windows, où une interaction minimale déclenche une requête sortante automatique.

Des preuves ont été publiées par la chaîne Telegram russophone chekist42 et relayées sur X (ex-Twitter) par GangExposed RU. Le chercheur 0x6rss a diffusé une vidéo PoC montrant que la clé secrète est sans importance pour l’exfiltration de l’IP: le simple test de connexion suffit. Les risques évoqués incluent dé-anonymisation ciblée, approximation de la localisation, et abus ciblés tels que des attaques DDoS.

Interrogé, Telegram minimise la portée en rappelant que tout opérateur de site ou de proxy voit l’IP de ceux qui s’y connectent, mais annonce l’ajout d’un avertissement lors du clic sur des liens proxy. Aucune date de déploiement n’a été communiquée. L’article est un compte-rendu de vulnérabilité et de la réponse de l’éditeur.

IOC et TTP:

  • IOCs:
    • Schéma d’URL proxy Telegram: t.me/proxy?server=[hôte/IP]&port=[port]&secret=[secret]
    • Exemple PoC: t.me/proxy?server=1.1.1.1&port=53&secret=SubscribeToGangExposed_int (exemple de démonstration)
  • TTPs:
    • Déguisement de lien en username/URL inoffensive (ingénierie sociale)
    • Hébergement de proxy MTProto contrôlé par l’attaquant pour collecter les IP
    • Connexion automatique de test côté client mobile, sans confirmation
    • Collecte d’adresses IP pour dé-anonymisation et ciblage

🔗 Source originale : https://www.bleepingcomputer.com/news/security/hidden-telegram-proxy-links-can-reveal-your-ip-address-in-one-click/