vaspvort
Ночной дозор
Команда форума
Модератор
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Старожил
Migalki Club
Меценат💎
В телеграмме есть способ раскрыть IP собеседника в 1 клик, не скидывая ему никаких файлов, картинок и даже не заставляю его переходить по сомнительным ссылкам.
Телеграм даже не предупреждает о том, что вы переходите по какой-то странной ссылке.
А как?
Речь про 1-click уязвимость, которая позволяет узнать IP собеседника , если он нажмет на username, ссылку, текст в обход всех прокси...
Оно работает на IOS и Android еще с 2023 года
Для схемы нужно:
При попытке перейти на такую ссылку Telegram сразу отправит пакет на сервер для проверки работоспособности прокси, телеграм нас никак об этом не предупреждает
и мы в один клик сливаем свое местоположение каком-то типу с улицы.
Вот такие пироги...
То есть, мы не вставляем никаких левых фишинговых ссылок, мы бувавльно вставляем линк на сам телеграмм ( ?) и его сервис, поэтому никаких предупреждений и сообщений от телеги нет
Например @durov, ( ) ( ), ( ) ( ) и т. д.
Запускаете mtproxy, добавляете ссылку на ваш прокси поверх ссылки Telegram или любого другого текста, ждете, смотрите логи подключений IP и все...
Данные принадлежат кому угодно, но не нам :-(
Источник
Телеграм даже не предупреждает о том, что вы переходите по какой-то странной ссылке.
А как?
Это одна из множества узявимостей телеги.
Речь про 1-click уязвимость, которая позволяет узнать IP собеседника , если он нажмет на username, ссылку, текст в обход всех прокси...
Оно работает на IOS и Android еще с 2023 года
Для схемы нужно:
- Открыть прослушивание любого порта на вашем сервере. Например, через netcat: nc -lvnp <ваш_порт> 2. Подставить в ссылку вида
(тут данные
вашегосервера) 3. Вставить эту ссылку под видом обычной, например: @durov ( ) или ( ) - Подставить в ссылку вида
(тут данные
вашегосервера) - Вставить эту ссылку под видом обычной, например: @durov ( ) или ( )
При попытке перейти на такую ссылку Telegram сразу отправит пакет на сервер для проверки работоспособности прокси, телеграм нас никак об этом не предупреждает
и мы в один клик сливаем свое местоположение каком-то типу с улицы.
Телеграм умеет защищаться от такого! Да ... умеет же...?
Если вам написал какой-то новый аккаунт с ссылкой в сообщении, то она не будет кликабельна. Казалось бы, это защищает нас от случайного клика, но на деле это значит, что пару часов прогрева + наличие белого акка с хорошей историей... и все, ссылка снова становится кликабельной.Вот такие пироги...
Почему это происходит?
На Android и iOS клиентах включен автопинг прокси до добавления, а во всех клиентах нет предупреждения при нажатии, если ссылка внутренняя. А прокси ссылка тоже считается внутреней ( ), поэтому при нажатии на ссылку ваш IP автоматически раскроется.То есть, мы не вставляем никаких левых фишинговых ссылок, мы бувавльно вставляем линк на сам телеграмм ( ?) и его сервис, поэтому никаких предупреждений и сообщений от телеги нет
Например @durov, ( ) ( ), ( ) ( ) и т. д.
Запускаете mtproxy, добавляете ссылку на ваш прокси поверх ссылки Telegram или любого другого текста, ждете, смотрите логи подключений IP и все...
Данные принадлежат кому угодно, но не нам :-(
Источник
