- Pesquisadores encontraram uma falha no Telegram que pode expor endereços IP de usuários
- A vulnerabilidade de um clique explora a verificação automática de proxy do aplicativo
- O bug “ignora todos os proxies configurados” no aplicativo, incluindo VPNs
Pesquisadores de segurança descobriram uma nova vulnerabilidade de um clique que força o aplicativo móvel Telegram a vazar seu endereço IP real. Mesmo usando o melhor VPN os aplicativos podem não ser suficientes para interrompê-lo se suas configurações não forem seguras.
A falha, identificada por pesquisador de segurança 0x6rssafeta as versões Android e iOS do aplicativo. Ele gira em torno de como o Telegram lida com as configurações de proxy, um recurso frequentemente usado por pessoas em regiões restritivas para contornar a censura.
Ao disfarçar um link de proxy malicioso como um nome de usuário ou URL de site inofensivo, os invasores podem enganar o aplicativo para que ele faça “ping” em um servidor que eles controlam. Essa conexão acontece automaticamente e, principalmente, ocorre fora do túnel criptografado em que os usuários confiam para permanecerem anônimos.
Como funciona o vazamento de ‘um clique’ do Telegram
A vulnerabilidade é acionada no momento em que um usuário clica em um link t.me especialmente criado. Embora esses links possam parecer perfis de usuário padrão, eles na verdade apontam para uma configuração de proxy. Ao ser clicado, o Telegram tenta verificar a qualidade da conexão proxy enviando uma solicitação de teste (um “ping”) ao servidor.
O pesquisador descobriu que esta solicitação específica “ignora todos os proxies configurados” e túneis dentro do aplicativo. Como resultado, a conexão é feita através da pilha de rede nativa do dispositivo, diretamente do dispositivo do usuário, registrando instantaneamente seu endereço IP real no servidor do invasor.
VAZAMENTO DE ENDEREÇO IP DO TELEGRAM COM UM CLIQUE!Nesta edição, a chave secreta é irrelevante. Assim como os vazamentos de hash NTLM no Windows, o Telegram tenta testar automaticamente o proxy. Aqui, a chave secreta não importa e o endereço IP é exposto. Exemplo de um link escondido atrás de um… https://t.co/KTABAiuGYI pic.twitter.com/NJLOD6aQiJ10 de janeiro de 2026
O código de prova de conceito agora está disponível publicamente em GitHub.
O que torna isso particularmente perigoso é a natureza de “um clique” da exploração. Não há uma segunda tela de confirmação ou aviso antes do envio do ping. Uma vez que o link é acessado, o dano está feito.
Para ativistas, jornalistas e denunciantes que dependem do Telegram para manter o anonimato, isso expõe sua localização física aproximada e detalhes do ISP a possíveis malfeitores.
Uma VPN pode proteger você?
O pesquisador observou que a solicitação “ignora todos os proxies configurados”, ignorando as configurações ativas SOCKS5, MTProto ou VPN configuradas especificamente nas configurações do aplicativo Telegram.
Como o aplicativo inicia essa solicitação de conexão específica diretamente por meio da interface de rede do dispositivo, ele pode vazar dados mesmo quando as ferramentas de proteção estão ativas.
Embora seja uma VPN para todo o sistema com um rigoroso interruptor de matar deveria, teoricamente, capturar esse tráfego, o comportamento específico dessa falha cria um risco significativo de que o tráfego possa escapar pela rede, especialmente se o usuário confiar em tunelamento dividido características.
Resposta do telegrama
O Telegram historicamente minimizou descobertas semelhantes, muitas vezes afirmando que “qualquer site ou proprietário de proxy pode ver os IPs” dos visitantes, enquadrando isso como uma função padrão de como a Internet funciona.
No entanto, após o exame minucioso deste desvio específico, a empresa disse Computador bipando que pretende abordar o aspecto da falha na interface do usuário.
Espera-se que o Telegram adicione um aviso a esses links específicos em uma atualização futura, permitindo que os usuários identifiquem proxies disfarçados e recusem a conexão antes que o ping automático seja enviado.
O que você pode fazer
Até que o Telegram libere um patch para corrigir esse comportamento de ping automático, os usuários são aconselhados a serem extremamente cautelosos ao clicar em links de fontes desconhecidas, mesmo que pareçam ser nomes de usuário internos do Telegram.
- Evite clicar em links t.me de estranhos ou em canais públicos.
- Verifique as visualizações dos links cuidadosamente antes de bater.
- Certifique-se de que sua VPN em todo o sistema esteja ativa e configurado para bloquear todo o tráfego não VPN (Kill Switch habilitado) em vez de depender apenas das configurações de proxy internas do Telegram.
O Telegram ainda não divulgou uma data formal para essa correção, mas à medida que o escrutínio aumenta, uma atualização de segurança provavelmente está no horizonte. Por enquanto, o curso de ação mais seguro é tratar cada link com suspeita.
Siga o TechRadar no Google Notícias e adicione-nos como fonte preferencial para receber notícias, análises e opiniões de especialistas em seus feeds. Certifique-se de clicar no botão Seguir!