Recentemente, voci preoccupanti riguardo a una vulnerabilità che consentirebbe la fuoriuscita dell’indirizzo IP di un utente Telegram hanno circolato su tutto internet.
In questo articolo valutiamo la gravità di questa presunta “vulnerabilità”, come funziona l’”exploit” e cosa si può fare prima di cadere nella trappola. Infine, esploriamo una serie di considerazioni da tenere in conto per un’analisi post-mortem in caso di leak dell’IP.
La proof-of-concept
Con pochi clic si può raggiungere questo post su X di 0x6rss:
Il video mostra un attaccante che esegue uno script Python, ricevendo connessioni quando un bersaglio clicca su un’entità messaggio di Telegram.
Analizziamolo nel dettaglio.
Prima di tutto, vediamo la vittima cliccare sulla “menzione dell’username”; successivamente l’attaccante inizia a ricevere numerosi log di connessione e, immediatamente dopo, viene mostrata una schermata che invita l’utente a impostare un proxy.
Il problema è dimostrato qui: anche se la vittima non imposta il server malevolo come proxy, le richieste di connessione vengono comunque effettuate e di conseguenza l’indirizzo IP viene esposto.
L’entità messaggio sembra una menzione di username, ma in realtà è un link che si presenta come una menzione, e il link presenta la configurazione proxy del server controllato dall’attaccante.
Approfondimento
Provando con altri dispositivi, notiamo che le impostazioni proxy possono essere condivise con due URL di configurazione separati:
- quello sicuro:
tg://... - quello “malevolo”:
https://t.me/proxy/...
Escludendo il primo per ovvie ragioni, concentriamoci su quello di interesse.
Tentando di replicare l’”exploit” su altri dispositivi, il risultato non ha successo. Possiamo circoscrivere la “vulnerabilità” ai dispositivi mobili — più precisamente, è stata provata funzionante sull’ultima versione (al momento della stesura) per iOS.
Un altro punto valido del video è che è richiesto un clic da parte dell’utente. La domanda quindi diventa: come possiamo sapere se la “menzione dell’username” presentata è effettivamente una menzione o semplicemente una configurazione proxy mascherata e formattata come l’URL pericoloso?
La risposta è più semplice di quanto potreste aspettarvi: basta tenere premuto sull’entità messaggio per far rivelare a Telegram cosa contiene, senza effettivamente “renderizzare” le funzionalità (es.: aprire l’URL o cercare l’username).
Valutazione post-mortem
Cosa succede se abbiamo inavvertitamente toccato un URL malevolo con conseguente esposizione del nostro IP?
Sebbene non possiamo “annullare” l’errore, possiamo determinare in che misura quell’informazione ci identifica e più specificamente come può essere usata contro di noi.
Al giorno d’oggi è molto raro avere una connessione con un IP assegnato a lungo termine / statico, utilizzato da un solo individuo connesso alla rete. Pertanto l’attaccante ottiene informazioni sulla nazione e possibilmente sull’area da cui origina la connessione.
In particolare, quando proviene da una rete CGNAT, l’area può risultare assolutamente fuorviante e quindi questa informazione inaffidabile (verificate le fonti e ne valutate l’affidabilità, vero!?).
Un’altra possibilità molto comune è che il vostro ISP assegni gli IP dinamicamente ad ogni riavvio dell’Access Point Wi-Fi. Pertanto la correlazione tra vittima e IP è solo temporanea.
Va da sé che se abbiamo:
- un IP assegnato a lungo termine
- la rete non è condivisa con altri utenti
- l’ISP ci garantisce una connessione unica e non condivisa
Siamo nei guai.
Punti chiave
Come sempre, non credete a tutto ciò che vedete online senza verificare prima le informazioni.
In secondo luogo, non interagite con contenuti condivisi da fonti non fidate o non riconosciute. Piuttosto, segnalateli a qualcuno digitalmente competente per comprendere meglio la gravità della minaccia.
Non utilizzate proxy se non specificamente necessario; utilizzate invece provider VPN affidabili (es.: Proton).
Lascia un commento