はじめに
Telegramのプロキシリンクをワンクリックするだけで、ユーザーの実際のIPアドレスが攻撃者に露呈する可能性があるという脆弱性が発見されました。これは、Telegramクライアントがプロキシリンクの処理を行う方法に起因するもので、ユーザーは特別な警告なしに匿名性を損なう恐れがあります。
脆弱性の詳細
セキュリティ研究者らは、AndroidおよびiOS版のTelegramクライアントにおいて、特別に細工された内部リンクをタップすると、アプリが自動的にプロキシへの接続を試みることを実証しました。これらのリンクは、一見すると通常のユーザー名(例:@durov)のように見えることがありますが、実際にはTelegramのプロキシ設定リンクに偽装されています。
Telegramのプロキシリンク(t.me/proxy?...)は、ユーザーが手動でサーバー詳細を入力することなく、MTProtoプロキシを迅速に設定するために使用されます。これにより、検閲を回避したり、自身の位置を隠したりする際に役立つため、活動家やジャーナリストなどの匿名性を求める人々にとって重要な機能です。
しかし、この機能には落とし穴がありました。AndroidおよびiOSのTelegramクライアントでプロキシリンクを開くと、プロキシが追加される前にアプリが自動的にテスト接続を開始します。このテスト接続は、設定済みのプロキシをバイパスしてユーザーのデバイスから指定されたサーバーへ直接ネットワークリクエストを発行するため、悪意のあるプロキシ運営者はユーザーの実際のIPアドレスを記録することが可能になります。
IPアドレス漏洩のリスク
露出したIPアドレスは、以下のような悪用につながる可能性があります。
- ユーザーのおおよその位置特定
- サービス拒否(DoS)攻撃の標的
- 標的型匿名解除攻撃
研究者はこの挙動をWindowsのNTLMハッシュ漏洩と比較しており、細工されたリソースとの単一のインタラクションで、ユーザーの意識なく自動的なアウトバウンドリクエストがトリガーされる危険性を指摘しています。この脆弱性は、ワンクリックで追加の確認なしに実行されるため、標的型匿名解除に非常に適していると言えます。
発見と注意喚起
この問題は、ロシア語のTelegramチャンネル「chekist42」によって最初に公開され、その後、Xアカウント「GangExposed RU」やセキュリティ研究者「0x6rss」による動画PoC(概念実証)を通じて、より広範な注目を集めました。
0x6rssは、「Telegramはプロキシを追加する前に自動的にプロキシをpingするため、リクエストは設定されているすべてのプロキシをバイパスし、あなたの実際のIPが即座に記録される」と説明し、「サイレントかつ効果的な標的型攻撃」であると警告しています。
Telegramの対応
BleepingComputerがTelegramにこの挙動が脆弱性であると考えるか尋ねたところ、同社は「ウェブサイトやプロキシの所有者は、プラットフォームに関係なく、アクセスしたユーザーのIPアドレスを確認できる」と回答し、他のメッセージングプラットフォームと比較してTelegramに特有のものではないと述べました。
しかし、「それにもかかわらず、ユーザーが偽装されたリンクについてより認識できるように、プロキシリンクをクリックした際に警告を表示する」と発表しました。この警告機能のクライアントアプリへの展開時期については、現時点では明らかにされていません。
ユーザーへのアドバイス
ユーザーは、Telegramのユーザー名やt.meドメインに解決されるリンクに対して注意を払い、クリックする前にその信頼性を確認することが強く推奨されます。偽装されたプロキシリンクをクリックすることで、意図せず自身の実際のIPアドレスが露呈する可能性があるため、特に警戒が必要です。