隐藏的Telegram代理链接可一键暴露你的IP地址

                        作者

上午11:20

由于代理链接的处理方式，只需点击一个看似Telegram用户名或无害链接的内容，就足以将你的真实IP地址暴露给攻击者。

Telegram向BleepingComputer表示，在研究人员演示了特制链接可用于无需进一步确认即泄露Telegram用户真实IP地址后，他们将为代理链接添加警告。

谨慎处理Telegram链接

安全研究人员本周演示，当用户点击特制的内部链接时，Android和iOS上的Telegram客户端会自动尝试连接代理。

这些链接可以伪装成普通用户名，例如在Telegram消息中显示为@durov，但实际上指向一个Telegram代理链接。

Telegram代理链接（
t.me/proxy?...
）是用于在Telegram客户端中快速配置MTProto代理的特殊URL。它们允许用户通过点击链接（而非手动输入服务器详细信息）来添加代理：

https://t.me/proxy?server=[proxy IP address/hostname]&port=[proxy_port]&secret=[MTProto_secret]

在Telegram中打开时，应用程序会读取代理参数（包括服务器、端口和密钥），并提示用户将代理添加到其设置中。

这些链接被广泛分享，以帮助用户绕过网络封锁或互联网审查，并隐藏其真实位置，特别是在限制性环境中，这使得该功能对活动人士、记者和其他寻求匿名的人士很有价值。

在Telegram的Android和iOS客户端上，打开代理链接还会触发自动测试连接，导致应用程序在代理被添加之前，就从用户设备向指定服务器发起直接网络请求。

攻击者可以通过设置自己的MTProto代理并分发视觉上伪装成无害用户名或网站URL、但实际上指向代理配置端点的链接，来滥用此行为。

如果用户在移动客户端上点击此类链接，Telegram应用程序将尝试连接到攻击者控制的服务器，从而使代理操作者能够记录用户的真实IP地址。

暴露的IP地址随后可用于推断用户的大致位置、发起拒绝服务攻击或支持其他针对性滥用。

此问题由一个俄语Telegram频道
chekist42
在
https://t.me/chekist42/139
揭露：

首次披露该问题的Telegram帖子
(BleepingComputer)

帖子中展示的概念验证伪装链接被X账户
GangExposed RU
重新分享，从而引起了对此问题更广泛的关注：

研究人员解释说：“接下来发生的情况是，Telegram在添加代理前会自动ping代理，该请求会绕过所有已配置的代理，你的真实IP会立即被记录。”

“静默且有效的针对性攻击。”

X上的安全研究和OSINT账户
0x6rss
通过视频PoC进一步演示了该问题：

一键泄露Telegram IP地址！

在此问题中，密钥无关紧要。就像Windows上的NTLM哈希泄露一样，Telegram会自动尝试测试代理。这里，密钥并不重要，IP地址就会暴露。

隐藏在…后面的链接示例
https://t.co/KTABAiuGYI

pic.twitter.com/NJLOD6aQiJ

— 0x6rss (@0x6rss)
2026年1月10日

研究人员将这种行为与Windows上的
NTLM哈希泄露
进行了比较，在那里，与特制资源的单次交互即可在用户不知情的情况下触发自动出站请求。

一般来说，IP地址泄露可以实现位置跟踪、用户画像和针对性攻击。

在这种情况下，该漏洞仅需一次点击且无需额外确认，因此适合用于针对性的去匿名化攻击。

Telegram淡化此问题，但将警告用户

BleepingComputer联系了Telegram，询问其是否认为此行为是一个漏洞。

该公司表示，任何网站或代理操作者都可以看到访问者的IP地址，与其他消息平台相比，这并非Telegram独有。

“任何网站或代理所有者都可以看到访问者的IP地址，无论平台如何，”一位Telegram发言人告诉BleepingComputer。

“这与WhatsApp或任何其他访问互联网的服务相比，对Telegram来说并没有更特殊的意义。”

“话虽如此，我们正在添加一个警告，当点击代理链接时会显示，以便用户能更清楚地意识到伪装链接。”

Telegram没有回应关于警告何时会推送到客户端应用程序的后续问题。

同时，建议用户对解析到
t.me
域的Telegram用户名和链接保持谨慎，因为点击伪装的代理链接可能会无意中暴露他们的真实IP地址。