Подменяет серверы и читает сообщения: чем грозит установка «Телеги»
Альтернативный мессенджер Telegram под названием «Телега», рекламируемый как средство обхода российских ограничений скорости, снова стал предметом споров. Пользователь популярной платформы «Хабр» с ником fox52 представил подробный технический анализ Android-версии программы (2.4.2), в котором пришел к выводу, что оператор данного сервиса обладает полным доступом к переписке и медиафайлам пользователей. Аналитик утверждает, что «Телега» выступает не просто…

Альтернативный мессенджер Telegram под названием «Телега», рекламируемый как средство обхода российских ограничений скорости, снова стал предметом споров. Пользователь популярной платформы «Хабр» с ником fox52 представил подробный технический анализ Android-версии программы (2.4.2), в котором пришел к выводу, что оператор данного сервиса обладает полным доступом к переписке и медиафайлам пользователей. Аналитик утверждает, что «Телега» выступает не просто посредником, а является полноправной стороной процесса шифрования.
Согласно исследованию, при первом запуске приложение запрашивает у своего сервера список IP-адресов и подключается к ним, выдавая их за легитимные узлы Telegram. В результате весь трафик направляется на серверы, контролируемые АО «Телега», а не на официальные серверы мессенджера. Fox52 также обнаружил в коде приложения дополнительный RSA-ключ, которого нет в официальном клиенте. Этот ключ позволяет серверам «Телеги» считаться доверенными участниками криптографического обмена. На основании этих данных автор приходит к выводу, что заявления разработчиков о «защищенности данных шифрованием Telegram» технически неверны, поскольку оператор становится не транзитным звеном, а полноценным субъектом, способным просматривать зашифрованный трафик.

Дополнительное внимание уделено обработке медиафайлов. Исследователь сообщает, что фотографии, отправленные через «Телегу», перекодируются на сервере оператора. Хотя визуально изображения остаются без изменений, их хеш-суммы и параметры сжатия меняются. Это указывает на то, что серверная инфраструктура получает доступ к содержимому снимков в расшифрованном виде и потенциально может модифицировать вложения. Кроме того, fox52 утверждает, что секретные чаты в приложении либо работают некорректно, либо скомпрометированы. В коде также были обнаружены механизмы для удаленной модерации и сбора дополнительной телеметрии.
В ходе эксперимента на специально настроенном стенде исследователь зафиксировал, что после входа в «Телегу» в официальном клиенте Telegram появлялась новая активная сессия, которая не была инициирована пользователем. Эта сессия характеризовалась наличием в поле версии системы строки «iOS SDK 34» и геолокацией, определенной по IP-адресу из инфраструктуры оператора. По мнению автора, это прямо подтверждает, что установка защищенного соединения проходит через промежуточные серверы.
Стоит отметить, что 9 апреля приложение «Телега» было удалено из App Store. В тот же день сервис Cloudflare Radar присвоил доменам проекта статус spyware (шпионское ПО). Позже, 10 апреля, после предоставления разработчиками дополнительных разъяснений, эта метка была снята. Однако TLS-сертификат приложения остается отозванным, и оно до сих пор не вернулось в каталог Apple. При этом клиент по-прежнему доступен для загрузки в Google Play.