由於代理鏈接的處理方式，只需點擊看似無害的 Telegram 用戶名或鏈接，就會將您的真實 IP 位址暴露給攻擊者。Telegram 告訴 BleepingComputer，在研究人員證明特製的連結可以用來在無需任何進一步確認的情況下洩露 Telegram 用戶的真實 IP 位址後，Telegram 現在將在代理連結中添加警告。
請謹慎使用 Telegram 鏈接
安全研究人員本週證明，當用戶點擊特製的內部連結時，Android 和 iOS 上的 Telegram 用戶端會自動嘗試連接到代理伺服器。這些連結可以偽裝成普通的用戶名，例如在 Telegram 訊息中顯示為 @durov，但實際上指向 Telegram 代理連結。
Telegram 代理連結（t.me/proxy?...）是用於在 Telegram 用戶端中快速設定 MTProto 代理的特殊 URL。用戶可以透過點擊連結新增代理，而無需手動輸入伺服器詳細資訊：
https://t.me/proxy?server=[proxy IP
address/hostname]&port=[proxy_port]&secret=[MTProto_secret]

Telegram 中開啟時，應用程式會讀取代理參數（包括伺服器、連接埠和金鑰），並提示使用者將代理程式新增至其設定。這些連結被廣泛分享，以幫助用戶繞過網路封鎖或網路審查，並隱藏他們的真實位置，尤其是在限制性環境中，這使得該功能對活動人士、記者和其他尋求匿名的人很有價值。在 Telegram 的 Android 和 iOS 用戶端上，開啟代理連結也會觸發自動測試連接，導致應用程式在新增代理之前從使用者的裝置向指定的伺服器發起直接網路請求。
攻擊者可以利用這種行為，設置自己的 MTProto 代理，並分發在視覺上偽裝成無害用戶名或網站 URL 的鏈接，但實際上這些鏈接指向代理配置端點。
如果用戶在行動用戶端上點擊此類鏈接，Telegram 應用程式將嘗試連接到攻擊者控制的伺服器，從而允許代理運營商記錄用戶的真實 IP 位址。暴露的 IP 位址隨後可用於推斷使用者的近似位置、發動拒絕服務攻擊或支援其他有針對性的濫用行為。
Telegram淡化了這個問題，但會向使用者發出警告
BleepingComputer 聯繫了 Telegram，詢問其是否認為這種行為構成漏洞。該公司表示，任何網站或代理商業者都可以看到訪客的 IP 位址，這並非 Telegram 獨有的現象，其他即時通訊平台也存在同樣的問題。
「任何網站或代理所有者都可以看到訪問該網站的人的 IP 位址，無論他們使用什麼平台，」一位 Telegram 發言人告訴 BleepingComputer。Telegram 沒有回應關於何時向客戶端應用程式推出該警告的後續問題。
同時，建議用戶謹慎使用 Telegram 用戶名和指向t.me網域的鏈接，因為點擊偽裝的代理連結可能會無意中暴露其真實 IP 位址。

資料來源：https://www.bleepingcomputer.com/news/security/hidden-telegram-proxy-links-can-reveal-your-ip-address-in-one-click/