Telegram kullanıcıları, dikkatli olmadıkları takdirde tek bir tıklama ile gerçek IP adreslerini saldırganlara açabilirler. Bu durum, proxy bağlantılarının nasıl işlendiğinden kaynaklanmaktadır.
Önemli Uyarılar
Güvenlik araştırmacıları, bu hafta Telegram uygulamalarının, Android ve iOS platformlarındaki kullanıcıların özel olarak hazırlanmış dahili bağlantılara tıkladığında otomatik olarak bir proxy bağlantısına bağlanmaya çalıştığını gösterdi.
Bu bağlantılar, sıradan kullanıcı adları gibi görünebilir; örneğin Telegram mesajında @durov olarak görünürken, gerçekte Telegram proxy bağlantısına yönlendiren bir link‘dir.
Telegram proxy bağlantıları (t.me/proxy?…), Telegram istemcilerinin MTProto proxy’lerini hızlı bir şekilde yapılandırabilmesi için kullanılan özel URL’lerdir. Kullanıcıların sunucu detaylarını manuel girmek yerine bağlantıya tıklayarak proxy eklemelerini sağlar:
https://t.me/proxy?server=[proxy IP adresi/hostname]&port=[proxy_port]&secret=[MTProto_secret]
Bu bağlantılar, kullanıcıların ağ engellerini aşmalarına veya internet sansüründen kaçmalarına yardımcı olmak için yaygın olarak paylaşılmaktadır ve özellikle kısıtlayıcı ortamda bulunan aktivistler, gazeteciler ve anonim kalmayı hedefleyen diğer kullanıcılar için değerlidir.
Saldırı Nasıl Çalışıyor?
Telegram’ın Android ve iOS istemcilerinde, bir proxy bağlantısı açıldığında otomatik bir test bağlantısı başlatılmakta ve bu durum kullanıcının cihazından belirtlen sunucuya doğrudan bir ağ isteği yapılmasına neden olmaktadır.
Saldırganlar bu davranışı kötüye kullanarak kendi MTProto proxy’lerini kurabilir ve yanıltıcı bir şekilde zararsız görünen kullanıcı adı veya web site URL’leri olarak paylaşılan bağlantıları dağıtabilirler.
Kullanıcı, mobil istemcide böyle bir bağlantıya tıkladığında, Telegram uygulaması saldırganın kontrolündeki sunucuya bağlanmayı dener ve bu da proxy operatörünün kullanıcının gerçek IP adresini kaydetmesine olanak tanır.
Keşfedilen sorun, yalnızca bir tıklama ile kullanıcıların gerçek IP adreslerini ifşa etmekte ve bu durum, kullanıcıların yaklaşık konumunu belirlemek, hizmet dışı bırakma saldırıları başlatmak veya diğer hedefli kötüye kullanımlar için destek sağlayabilir.
Bu sorun, chekist42 adlı bir Rusça Telegram kanalında duyurulmuştur:
Görüntülenen bağlantı, GangExposed RU hesabı tarafından yeniden paylaşılmıştır ve bu, sorunun daha geniş kitlelere ulaşmasına neden olmuştur:
https://t[.]me/proxy?server=1.1.1.1&port=53&secret=SubscribeToGangExposed_int
Güvenlik araştırmacısı, “[Bu bağlamda] Telegram, proxy bağlantısını eklemeden önce otomatik olarak ping atıyor, bu istek tüm yapılandırılmış proxy’leri atlayarak, gerçek IP’nizi anında kaydediyor,” açıklamasında bulundu.
“Sessiz ve etkili bir hedeflenmiş saldırı.” diye vurguladı.
Etkilenen Sistemler
Bu sorun, yalnızca Telegram’ı değil, aynı zamanda pek çok diğer uygulamayı da etkileyebilir. IP adresi ifşası, kullanıcıların konumlarını izlemeyi, profillemeyi ve hedefli saldırılara neden olabileceği için önemlidir. Sözü edilen hata, tek bir tıklama ile kullanıcıların anonimliklerini tehdit eden bir durumdur.
Telegram Sorunu Küçümsüyor, Ama Kullanıcıları Uyaracak
BleepingComputer, Telegram’a bu davranışın bir güvenlik açığı olup olmadığını sordu. Şirket, herhangi bir web sitesi veya proxy işletmecisinin ziyaretçilerin IP adreslerini görebileceğini ve bunun Telegram’a özgü olmadığını belirtti.
Telegram sözcüsü, “Herhangi bir web sitesi veya proxy sahibi, platform fark etmeksizin erişim yapanların IP adreslerini görebilir,” açıklamasında bulundu.
Telegram, kullanıcıların farkındalığını artırmak için proxy bağlantılarına tıklanmasının ardından uyarılar ekleyeceklerini bildirdi. Ancak, bu uyarıların ne zaman devreye gireceğine ilişkin takip edilen sorulara cevap verilmedi.
Kullanıcılara, Telegram kullanıcı adları ile t.me alanına yönlendiren bağlantılara dikkat etmeleri önerilmektedir. Kandırıcı proxy bağlantılarına tıklamak, istemeden gerçek IP adreslerinin ifşa edilmesine neden olabilir.
Sonuç
Bu durumu dikkate alarak, Telegram kullanıcılarının dikkatli olmaları ve aşağıdaki önlemleri almaları önemlidir:
- Güncelleme: Telegram uygulamanızı güncel tutun.
- Bağlantı Kontrolü: Bilinmeyen bağlantılara tıklamaktan kaçının.
- Proxy Kullanımı: Proxy bağlantılarını kullanmadan önce bağlı olduklarından emin olun.
Bu tür saldırılara karşı bir önlem olarak, kullanıcılar, yalnızca güvenilir kaynaklardan gelen bağlantılara tıklamalı ve olası kimlik avı girişimlerine karşı dikkatli olmalıdırlar.
