Опубликовано исследование, в котором утверждается, что Telega, альтернативный клиент Telegram, содержит изменения, позволяющие реализовать MITM-атаку и отключающие ключевые элементы криптозащиты Telegram. Клиент Telega использует код оригинального Android-клиента Telegram, распространяемый под лицензией GPLv2, но не раскрывает вносимые изменения, вопреки требованиям лицензии.

Вывод о возможности перехвата трафика пользователей делается на основе нескольких технических находок, выявленных после декомпиляции APK-пакета, анализа библиотек и изучения сетевых вызовов:

• Клиент Telegа перенаправляет трафик через собственную инфраструктуру: при старте он обращается к адресу api.telega.info/v1/dc‑proxy и получает JSON‑список «дата‑центров», которые подставляются вместо официальных адресов Telegram. Фактически это заставляет клиент устанавливать соединения не с оригинальными серверами, а через прокси Telega. Подобное поведение можно объяснить попыткой обхода блокировок прямого доступа к серверам Telegram. При использовании официальных открытых ключей Telegram, прокси могут лишь перенаправлять зашифрованный трафик на серверы Telegram, но не могут получить доступ к содержимому, не имея закрытых ключей, применяемых на официальных серверах Telegram.
• В сборке обнаружен дополнительный открытый RSA‑ключ, которого нет в официальных клиентах Telegram. При установке шифрованных сеансов со своими серверами Telega может использовать собственный открытый ключ, для которого известен парный закрытый ключ.
• Подмена адресов в сочетании с использованием собственного открытого ключа дают возможность совершить MITM-атаку, позволяющую читать все входящие и исходящие сообщения в чате и просматривать историю переписки, подменять содержимое сообщений и выполнять любые действия с учётной записью пользователя без его участия.
• Механизмы PFS (Perfect Forward Secrecy) и поддержка секретных E2E‑чатов в клиенте либо отключены по умолчанию, либо управляются удалённой конфигурацией, доступной через тот же dc‑proxy (клиент игнорирует секретные чаты и скрывает UI‑элементы для их создания).
• В коде выявлены удалённые фильтры/чёрные списки (запросы к api.telega.info/v1/api/blacklist/filter), позволяющие скрывать каналы, профили и чаты на стороне клиента по решению сервера.

Telega позиционируется как «Telegram‑клиент, созданный на базе открытого кода мессенджера», который можно использовать без VPN, а на странице проекта присутствует формулировка, что «вся информация надежно защищена сквозным шифрованием Telegram». Ранее Telegram-канал Telega с более 5 миллионов подписчиков был верифицирован, однако на момент написания статьи отметка отсутствует. У бота авторизации Telega более 6 миллионов пользователей ежемесячно.

Источник: http://www.opennet.ru/opennews/art.shtml?num=65063