Pesquisadores demonstraram um comportamento em clientes móveis do Telegram que permite revelar o endereço IP real de um usuário com um único clique em um link de proxy disfarçado — mesmo quando o usuário usa proxies ou VPNs.
Como funciona a falha
O problema explora o mecanismo de verificação automática de proxies do Telegram. Quando um usuário clica em um link que aponta para um proxy (por exemplo, um link do tipo t.me/proxy?server=...), o cliente envia uma solicitação de teste ao servidor de proxy antes de adicioná‑lo. Essa sondagem de conectividade é feita pelo dispositivo do usuário e, conforme demonstrado por pesquisadores, ignora proxies configurados pelo usuário, roteadores MTProto ou VPNs, expondo assim o IP de origem.
Prova de conceito e divulgação
O pesquisador conhecido como @0x6rss publicou uma demonstração e um proof‑of‑concept em X (ex‑Twitter), resumindo: “Telegram auto‑pings the proxy before adding it. Request bypasses all configured proxies. Your real IP is logged instantly.” A publicação pública da PoC e a divulgação responsável levaram a que o comportamento ganhasse atenção da imprensa técnica.
Impacto e escopo
Relatos indicam que tanto clientes Android quanto iOS são afetados, o que torna a questão relevante para a grande base de usuários do Telegram. A exploração não requer interação além do clique — é silenciosa e pode ser usada para doxxing, vigilância ou desanonimização de ativistas e fontes.
Resposta do Telegram e mitigação
Segundo cobertura técnica, o Telegram informou que passará a exibir advertências em links de proxy após a demonstração do problema. Pesquisadores também recomendam desabilitar detecção automática de proxies quando a opção existir, evitar clicar em usernames/links desconhecidos e empregar controles de rede (firewall) para bloquear sondagens de proxy de saída.
Evidências e limites
As matérias técnicas descrevem o comportamento observado e a PoC, e relatam que o Telegram se comprometeu a acrescentar avisos a links de proxy. Não há, nas fontes consultadas, inventário público de vítimas ou evidência de uma campanha massiva explorando esse vetor até o momento da publicação; a exposição documentada é técnica e centrada no vetor de verificação automática.
Recomendações operacionais
- Evitar clicar em links/nomes de usuário desconhecidos, especialmente em ambientes sensíveis.
- Desativar verificação automática de proxies se a opção estiver disponível no cliente.
- Aplicar regras de firewall no dispositivo ou na rede para monitorar e bloquear pings de proxy não autorizados.
- Acompanhar as notas oficiais do Telegram para confirmar correções e avisos adicionais.
Fontes principais: demonstração pública de @0x6rss e cobertura técnica do BleepingComputer sobre a intenção do Telegram de adicionar avisos a links de proxy.