- Peneliti menemukan kelemahan pada Telegram yang dapat mengungkap alamat IP pengguna
- Kerentanan sekali klik mengeksploitasi pemeriksaan proxy otomatis aplikasi
- Bug tersebut “melewati semua proxy yang dikonfigurasi” dalam aplikasi, termasuk VPN
Peneliti keamanan telah menemukan kerentanan satu klik baru yang memaksa aplikasi seluler Telegram membocorkan alamat IP asli Anda. Bahkan menggunakan VPN terbaik aplikasi mungkin tidak cukup untuk menghentikannya jika pengaturan Anda tidak kedap air.
Cacatnya, diidentifikasi oleh peneliti keamanan 0x6rssmemengaruhi versi aplikasi Android dan iOS. Ini berkisar pada bagaimana Telegram menangani pengaturan proxy, sebuah fitur yang sering digunakan oleh orang-orang di wilayah terbatas untuk melewati sensor.
Dengan menyamarkan tautan proxy berbahaya sebagai nama pengguna atau URL situs web yang tidak berbahaya, penyerang dapat mengelabui aplikasi agar melakukan “ping” ke server yang mereka kendalikan. Koneksi ini terjadi secara otomatis dan, yang terpenting, terjadi di luar terowongan terenkripsi yang diandalkan pengguna untuk tetap anonim.
Cara kerja kebocoran ‘sekali klik’ Telegram
Kerentanan dipicu saat pengguna mengeklik tautan t.me yang dibuat khusus. Meskipun tautan ini terlihat seperti profil pengguna standar, tautan tersebut sebenarnya mengarah ke konfigurasi proxy. Saat diklik, Telegram mencoba memverifikasi kualitas koneksi proxy dengan mengirimkan permintaan pengujian (“ping”) ke server.
Peneliti menemukan bahwa permintaan khusus ini “melewati semua proxy yang dikonfigurasi” dan terowongan dalam aplikasi. Hasilnya, koneksi dibuat melalui tumpukan jaringan asli perangkat, langsung dari perangkat pengguna, dan langsung mencatat alamat IP asli mereka di server penyerang.
KEBOCORAN ALAMAT IP TELEGRAM SATU KLIK! Dalam masalah ini, kunci rahasia tidak relevan. Sama seperti kebocoran hash NTLM di Windows, Telegram secara otomatis mencoba menguji proxy tersebut. Di sini, kunci rahasia tidak menjadi masalah dan alamat IP terungkap. Contoh tautan yang tersembunyi di balik… https://t.co/KTABAIuGYI pic.twitter.com/NJLOD6aQiJ10 Januari 2026
Kode bukti konsep sekarang tersedia untuk umum di GitHub.
Apa yang membuat hal ini sangat berbahaya adalah sifat eksploitasi yang bersifat “sekali klik”. Tidak ada layar konfirmasi atau peringatan kedua sebelum ping dikirim. Begitu tautannya disadap, kerusakan sudah terjadi.
Bagi para aktivis, jurnalis, dan pelapor yang mengandalkan Telegram untuk anonimitas, hal ini memperlihatkan perkiraan lokasi fisik dan detail ISP mereka kepada calon pelaku kejahatan.
Bisakah VPN melindungi Anda?
Peneliti mencatat bahwa permintaan tersebut “melewati semua proxy yang dikonfigurasi,” mengabaikan pengaturan SOCKS5, MTProto, atau VPN aktif yang dikonfigurasi secara khusus dalam pengaturan aplikasi Telegram.
Karena aplikasi memulai permintaan koneksi khusus ini secara langsung melalui antarmuka jaringan perangkat, aplikasi berpotensi membocorkan data bahkan ketika alat pelindung aktif.
Sedangkan VPN seluruh sistem dengan ketat tombol pemutus secara teoritis harus menangkap lalu lintas ini, perilaku spesifik dari kelemahan ini menciptakan risiko yang signifikan bahwa lalu lintas dapat lolos dari jaringan, terutama jika pengguna bergantung pada kanalisasi terbagi fitur.
Tanggapan Telegram
Telegram secara historis meremehkan temuan serupa, sering kali menyatakan bahwa “pemilik situs web atau proxy mana pun dapat melihat IP” pengunjung, dan menganggapnya sebagai fungsi standar cara kerja internet.
Namun, setelah dilakukan pengawasan terhadap jalan pintas khusus ini, kata perusahaan itu Komputer Tidur bahwa ia bermaksud untuk mengatasi aspek antarmuka pengguna dari kelemahan tersebut.
Telegram diharapkan menambahkan peringatan ke tautan spesifik ini di pembaruan mendatang, memungkinkan pengguna mengenali proxy yang disamarkan dan menolak koneksi sebelum ping otomatis dikirim.
Apa yang bisa Anda lakukan
Hingga Telegram merilis patch untuk memperbaiki perilaku ping otomatis ini, pengguna disarankan untuk sangat berhati-hati saat mengeklik tautan dari sumber yang tidak dikenal, meskipun tautan tersebut tampaknya merupakan nama pengguna internal Telegram.
- Hindari mengeklik tautan t.me dari orang asing atau di saluran umum.
- Periksa pratinjau tautan hati-hati sebelum mengetuk.
- Pastikan VPN seluruh sistem Anda aktif dan dikonfigurasi untuk memblokir semua lalu lintas non-VPN (Kill Switch diaktifkan) daripada hanya mengandalkan pengaturan proxy internal Telegram.
Telegram belum mengeluarkan tanggal resmi untuk perbaikan ini, tetapi seiring dengan meningkatnya pengawasan, pembaruan keamanan kemungkinan akan segera dilakukan. Untuk saat ini, tindakan paling aman adalah memperlakukan setiap tautan dengan kecurigaan.
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
