-
09/04/2020
-
123
-
1.495 bài viết
Chỉ một cú nhấp chuột, người dùng Telegram có thể bị lộ địa chỉ IP thật
Một liên kết xuất hiện tưởng chừng vô hại trên Telegram có thể làm lộ địa chỉ IP thật của người dùng. Các nhà nghiên cứu an ninh mạng vừa phát hiện một cơ chế xử lý liên kết proxy trong Telegram có thể bị lợi dụng để thu thập IP nạn nhân chỉ với một cú nhấp chuột, không cần thêm bất kỳ xác nhận nào từ phía người dùng.
Telegram cũng đã thừa nhận cơ chế này tồn tại và cho biết sẽ bổ sung cảnh báo cho người dùng trong thời gian tới.
Lỗ hổng là gì, nằm ở đâu trong hệ thống Telegram?
Lỗ hổng không xuất phát từ cơ chế mã hóa tin nhắn hay máy chủ trung tâm của Telegram. Thay vào đó, vấn đề nằm ở cách ứng dụng Telegram trên Android và iOS xử lý các liên kết proxy nội bộ, cụ thể là các liên kết dùng để cấu hình proxy MTProto.
Telegram cho phép người dùng thêm proxy thông qua các liên kết đặc biệt có dạng "t.me/proxy?".... Khi nhấp vào liên kết này, ứng dụng sẽ tự động đọc các tham số như máy chủ, cổng kết nối và khóa bí mật, sau đó đề nghị người dùng thêm proxy vào phần cài đặt.
Tính năng này vốn được thiết kế để giúp người dùng dễ dàng vượt chặn mạng, tránh kiểm duyệt Internet và che giấu vị trí truy cập. Đây là công cụ được sử dụng rộng rãi bởi nhà báo, nhà hoạt động xã hội và những người cần giữ ẩn danh khi liên lạc. Tuy nhiên, chính sự “thuận tiện” này đã vô tình tạo ra một điểm yếu nghiêm trọng.
Telegram cho phép người dùng thêm proxy thông qua các liên kết đặc biệt có dạng "t.me/proxy?".... Khi nhấp vào liên kết này, ứng dụng sẽ tự động đọc các tham số như máy chủ, cổng kết nối và khóa bí mật, sau đó đề nghị người dùng thêm proxy vào phần cài đặt.
Tính năng này vốn được thiết kế để giúp người dùng dễ dàng vượt chặn mạng, tránh kiểm duyệt Internet và che giấu vị trí truy cập. Đây là công cụ được sử dụng rộng rãi bởi nhà báo, nhà hoạt động xã hội và những người cần giữ ẩn danh khi liên lạc. Tuy nhiên, chính sự “thuận tiện” này đã vô tình tạo ra một điểm yếu nghiêm trọng.
Lỗ hổng được phát hiện như thế nào?
Vấn đề lần đầu được công bố trên một kênh Telegram. Tại đây, các nhà nghiên cứu đã chia sẻ bằng chứng cho thấy Telegram tự động gửi một yêu cầu kết nối mạng đến máy chủ proxy ngay khi người dùng nhấp vào liên kết, ngay cả khi proxy đó chưa được thêm hay kích hoạt.
Thông tin sau đó lan rộng khi nhiều tài khoản nghiên cứu OSINT và an ninh mạng trên nền tảng X, trong đó có tài khoản đã công bố video minh họa quá trình khai thác. Các thử nghiệm cho thấy hành vi này xảy ra trên cả ứng dụng Telegram Android và iOS.
Thông tin sau đó lan rộng khi nhiều tài khoản nghiên cứu OSINT và an ninh mạng trên nền tảng X, trong đó có tài khoản đã công bố video minh họa quá trình khai thác. Các thử nghiệm cho thấy hành vi này xảy ra trên cả ứng dụng Telegram Android và iOS.
Nguyên nhân và cơ chế hoạt động của lỗ hổng
Nguyên nhân cốt lõi nằm ở việc Telegram tự động “kiểm tra kết nối” proxy trước khi hiển thị đầy đủ cảnh báo hoặc yêu cầu xác nhận từ người dùng. Cụ thể, khi người dùng nhấp vào một liên kết proxy:
- Ứng dụng Telegram phân tích các tham số proxy trong liên kết
- Ngay lập tức gửi một yêu cầu mạng từ thiết bị của người dùng tới máy chủ proxy để kiểm tra
- Yêu cầu này sử dụng trực tiếp địa chỉ IP thật của người dùng, bỏ qua mọi proxy hoặc cơ chế ẩn danh đã cấu hình trước đó
Kẻ tấn công có thể lợi dụng hành vi này bằng cách thiết lập một máy chủ proxy MTProto do mình kiểm soát, sau đó phát tán liên kết proxy được ngụy trang thành tên người dùng Telegram hoặc một liên kết trông hoàn toàn bình thường. Chỉ cần nạn nhân nhấp vào, IP thật sẽ bị ghi lại ngay lập tức.
Các nhà nghiên cứu ví hành vi này tương tự các vụ rò rỉ NTLM hash trên Windows, nơi chỉ một tương tác nhỏ cũng đủ kích hoạt kết nối mạng ngoài ý muốn mà người dùng không hề hay biết.
Các nhà nghiên cứu ví hành vi này tương tự các vụ rò rỉ NTLM hash trên Windows, nơi chỉ một tương tác nhỏ cũng đủ kích hoạt kết nối mạng ngoài ý muốn mà người dùng không hề hay biết.
Có mã CVE hay điểm CVSS không?
Tính đến thời điểm hiện tại, lỗ hổng này chưa được gán mã CVE chính thức và không có điểm CVSS cụ thể. Telegram cũng không coi đây là một lỗ hổng bảo mật theo định nghĩa truyền thống. Tuy nhiên, giới chuyên gia an ninh mạng đánh giá rằng việc tự động phát sinh kết nối mạng chỉ với một cú nhấp chuột, không có cảnh báo rõ ràng là một rủi ro đáng kể, đặc biệt trong các kịch bản tấn công có chủ đích.
Rủi ro và mức độ ảnh hưởng đối với người dùng
Việc lộ địa chỉ IP không đồng nghĩa với việc tài khoản Telegram bị chiếm quyền kiểm soát. Tuy nhiên, IP vẫn là một thông tin nhạy cảm và có thể dẫn đến nhiều hệ quả nguy hiểm. Khi IP bị lộ, kẻ tấn công có thể:
- Xác định vị trí địa lý tương đối của người dùng
- Phục vụ các chiến dịch theo dõi, giám sát hoặc xâm phạm đời tư
- Thực hiện các cuộc tấn công từ chối dịch vụ (DDoS)
- Kết hợp IP với dữ liệu khác để xây dựng hồ sơ nhận dạng cá nhân
Rủi ro đặc biệt nghiêm trọng đối với những người phụ thuộc vào Telegram để giữ ẩn danh, như nhà báo điều tra, nhà hoạt động xã hội hoặc người dùng tại các quốc gia có kiểm duyệt Internet nghiêm ngặt.
Phản hồi của Telegram và tình trạng khắc phục
Telegram cho rằng bất kỳ website hay proxy nào cũng có thể nhìn thấy địa chỉ IP của người truy cập và điều này không phải là vấn đề riêng của Telegram so với các nền tảng khác như WhatsApp.
Dù vậy, Telegram cũng thừa nhận nguy cơ bị lợi dụng và cho biết sẽ bổ sung cảnh báo khi người dùng nhấp vào các liên kết proxy, nhằm giúp người dùng nhận biết rõ hơn các liên kết được ngụy trang. Telegram hiện chưa công bố thời điểm cụ thể triển khai cảnh báo này trên các ứng dụng di động.
Dù vậy, Telegram cũng thừa nhận nguy cơ bị lợi dụng và cho biết sẽ bổ sung cảnh báo khi người dùng nhấp vào các liên kết proxy, nhằm giúp người dùng nhận biết rõ hơn các liên kết được ngụy trang. Telegram hiện chưa công bố thời điểm cụ thể triển khai cảnh báo này trên các ứng dụng di động.
Khuyến nghị từ chuyên gia an ninh mạng
Trong khi chờ Telegram cập nhật, các chuyên gia khuyến cáo người dùng nên:
- Cẩn trọng với các liên kết trên Telegram, kể cả khi chúng trông giống tên người dùng quen thuộc
- Hạn chế nhấp vào các liên kết "t.me", đặc biệt là liên kết proxy, nếu không rõ nguồn gốc
- Tránh mở link lạ trên thiết bị di động khi đang cần bảo vệ danh tính
- Sử dụng thêm các biện pháp bảo vệ mạng, như VPN đáng tin cậy, khi truy cập liên kết không xác định
Sự việc lần này cho thấy ngay cả những nền tảng được đánh giá cao về bảo mật như Telegram vẫn có thể tồn tại những “điểm mù” trong thiết kế tính năng. Lỗ hổng không nằm ở thuật toán mã hóa, mà ở cách ứng dụng tự động xử lý liên kết để tối ưu trải nghiệm người dùng nhưng thiếu cảnh báo cần thiết.
Trong bối cảnh các cuộc tấn công ngày càng tinh vi và có mục tiêu rõ ràng, người dùng cần hiểu rằng đôi khi chỉ một cú nhấp chuột cũng đủ làm lộ thông tin nhạy cảm. Đồng thời, đây cũng là bài học quan trọng cho các nền tảng công nghệ: bảo mật không chỉ nằm ở hệ thống lõi, mà còn ở từng hành vi nhỏ nhất trong trải nghiệm người dùng hằng ngày.
Trong bối cảnh các cuộc tấn công ngày càng tinh vi và có mục tiêu rõ ràng, người dùng cần hiểu rằng đôi khi chỉ một cú nhấp chuột cũng đủ làm lộ thông tin nhạy cảm. Đồng thời, đây cũng là bài học quan trọng cho các nền tảng công nghệ: bảo mật không chỉ nằm ở hệ thống lõi, mà còn ở từng hành vi nhỏ nhất trong trải nghiệm người dùng hằng ngày.
WhiteHat