Дата публикации:Tue, 24 Mar 2026 21:00:47 +0300
Опубликовано исследование, в котором утверждается, что Telega, альтернативный клиент Telegram, содержит изменения, позволяющие реализовать MITM-атаку и отключающие ключевые элементы криптозащиты Telegram. Клиент Telega использует код оригинального Android-клиента Telegram, распространяемый под лицензией GPLv2, но не раскрывает вносимые изменения, вопреки требованиям лицензии.
Вывод о возможности перехвата трафика пользователей делается на основе нескольких технических находок, выявленных после декомпиляции APK-пакета, анализа библиотек и изучения сетевых вызовов:
- Клиент Telegа перенаправляет трафик через собственную инфраструктуру: при старте он обращается к адресу api.telega.info/v1/dc‑proxy и получает JSON‑список "дата‑центров", которые подставляются вместо официальных адресов Telegram. Фактически это заставляет клиент устанавливать соединения не с оригинальными серверами, а через прокси Telega. Подобное поведение можно объяснить попыткой обхода блокировок прямого доступа к серверам Telegram. При использовании официальных открытых ключей Telegram, прокси могут лишь перенаправлять зашифрованный трафик на серверы Telegram, но не могут получить доступ к содержимому, не имея закрытых ключей, применяемых на официальных серверах Telegram. В сборке обнаружен дополнительный открытый RSA‑ключ, которого нет в официальных клиентах Telegram. Telega может использовать собственный ключ при установке шифрованных сеансов. Подмена адресов в сочетании с использованием собственного открытого ключа дают возможность совершить MITM-атаку, позволяющую читать все входящие и исходящие сообщения в чате и просматривать историю переписки, подменять содержимое сообщений и выполнять любые действия с учётной записью пользователя без его участия. Механизмы PFS (Perfect Forward Secrecy) и поддержка секретных E2E‑чатов в клиенте либо отключены по умолчанию, либо управляются удалённой конфигурацией, доступной через тот же dc‑proxy (клиент игнорирует секретные чаты и скрывает UI‑элементы для их создания). В коде выявлены удалённые фильтры/чёрные списки (запросы к api.telega.info/v1/api/blacklist/filter), позволяющие скрывать каналы, профили и чаты на стороне клиента по решению сервера.
Новость позаимствована с opennet.ru
Ссылка на оригинал: https://www.opennet.ru/opennews/art.shtml?num=65063