В начале 2026 года исследователи безопасности обнаружили изящную, но крайне опасную схему деанонимизации пользователей Telegram. Проблема затрагивает мобильные версии приложения на iOS и Android и позволяет злоумышленникам получить реальный IP-адрес жертвы, даже если у неё включен VPN.
В этой статье разберем техническую сторону «дыры» и то, почему стандартные средства защиты могут не сработать.
В чем суть «уязвимости»?
Telegram поддерживает протоколы «глубоких ссылок» (deep links) для быстрой настройки прокси-серверов. Ссылка вида tg://proxy?server=1.2.3.4… при нажатии заставляет приложение инициировать соединение с указанным адресом.
Злоумышленники нашли способ маскировать эти ссылки. Используя форматирование текста (через Markdown или Bot API), они «натягивают» ссылку на прокси на текст, имитирующий обычное упоминание пользователя: [@official_bot](tg://proxy?server=…).
Механика утечки
Когда вы видите в чате синее упоминание через @ и нажимаете на него, вы ожидаете открытия профиля. Но вместо этого происходит следующее:
- Скрытый Handshake: Приложение мгновенно отправляет TCP-запрос на сервер, указанный в ссылке, чтобы проверить его доступность (пинговка).
- Обход VPN: Уязвимость 2026 года показала, что на мобильных ОС этот проверочный запрос часто идет в обход активного VPN-туннеля. Приложение делает прямой системный вызов, чтобы «прощупать» новый узел связи.
- Утечка IP: Сервер злоумышленника, настроенный на прием таких запросов, логирует входящее соединение. В логах отображается ваш реальный IP-адрес, предоставленный провайдером.
Почему это работает?
Проблема кроется в отсутствии Confirmation Dialog. В интерфейсе Telegram до недавнего времени не было промежуточного окна: «Вы действительно хотите подключиться к этому прокси?». Соединение инициировалось в фоне «по клику».
Что может узнать злоумышленник?
- Ваш реальный IP: И, как следствие, ваш город и провайдера.
Связь личности и IP: Если ссылка была прислана вам в личные сообщения, атакующий точно знает, какой аккаунт соответствует данному адресу. - Отпечаток по метаданным пакетов: Версия ОС и время вашей активности.
Как обезопасить себя до устранения проблемы разработчиками?
- Долгое нажатие: Перед кликом по любому упоминанию (особенно в крупных каналах или от незнакомцев) задержите на нем палец. Всплывающее окно покажет реальный адрес ссылки. Если там tg://proxy — не нажимайте.
- Системный Kill Switch: В настройках вашего смартфона (раздел VPN) включите опцию «Блокировать соединения без VPN». Это заставит систему «убивать» любые запросы, которые пытаются пройти мимо туннеля.
- Обновления: Следите за обновлениями Telegram. Разработчики уже тестируют функционал принудительного подтверждения для любых действий с прокси.
Берегите свои данные и не доверяйте «синим ссылкам» без проверки!