文章总结： Telegram移动端存在一键IP泄露漏洞，攻击者利用伪装链接触发自动代理校验，绕过用户VPN直接暴露真实IP。该漏洞影响安卓与iOS，成本低且隐蔽。建议用户避免点击陌生链接，并使用系统级防火墙强制流量代理，直至官方修复。 综合评分： 90 文章分类： 漏洞分析,移动安全,网络安全

Telegram曝隐藏漏洞,1次点击绕过代理暴露用户真实IP, Android和iOS均中招

原创

suntiger

二进制空间安全

2026年1月13日 11:38 北京

将二进制空间安全设为”星标⭐️”

第一时间收到文章更新

事件背景

#

Telegram 移动客户端中存在一个隐蔽漏洞, 攻击者只需一次点击就能看到用户的真实IP地址, 甚至包括使用代理隐藏身份的用户。该漏洞被称为“一键 IP泄露”，会把看似无害的用户名链接变成功能强大的追踪工具。

问题源于 Telegram 的自动代理校验机制。当用户遇到一个伪装成用户名的代理链接（例如 t.me/proxy?server=攻击者控制）时，应用在添加代理之前会先对该代理服务器进行连通性探测。

关键在于，这次探测会绕过用户配置的所有代理，直接从受害者设备发起请求，从而暴露其真实IP。整个过程不需要任何密钥，类似于 Windows 上的 NTLM 哈希泄露——认证尝试本身就会暴露客户端信息。

攻击过程还原

攻击者构造恶意代理 URL，并将其伪装成聊天或频道中的可点击用户名。目标用户只需点击一次，就会触发：

1. 自动代理测试：Telegram向攻击者的服务器发送连通性探测请求。
2. 代理绕过:该请求忽略 SOCKS5、MTProto 或 VPN 设置，使用设备的原生网络栈。
3. IP 记录：攻击者服务器捕获源 IP、地理位置及相关元数据。

Android 与 iOS 客户端均受影响，波及大量依赖 Telegram 进行隐私敏感通信的用户。除了点击之外不需要任何额外交互；该过程安静而高效，适用于人肉搜索、监控或去匿名化活动人士。

这一漏洞凸显了在代理高度依赖的应用中所存在的风险，尤其是在国家级监控不断上升的背景下。拥有超过 9.5 亿用户的Telegram目前尚未公开修复该问题。

对于攻击者来讲,该漏洞攻击成本极低, 不需要常规漏洞利用、不需要代码执行、不需要中间人、不需要权限提升, 只需要一次点击, 并且不会留下明显痕迹 ，不会触发安全警告, 不会被普通用户察觉。

该漏洞非常适合于做定向追踪、去匿名化。针对记者、研究人员、维权人士的画像关联。

临时解决方案

在 Telegram修复前，用户目前只能被动防御,措施包括:

(1).行为层面

不点击陌生用户、频道、私聊中的任何“用户名 / 代理链接”, 特别是看起来像普通用户名、但可点击的内容。

(2).网络层面

使用系统级防火墙, 强制 Telegram 所有出站流量只能走 VPN / tun 设备。通过 Telegram 的更新日志关注补丁。

(3).风险意识

不要把 Telegram 当成“强匿名工具”, 端到端加密并不等于网络匿名。

(全文完)

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：二进制空间安全 suntiger《Telegram曝隐藏漏洞,1次点击绕过代理暴露用户真实IP, Android和iOS均中招》