Скандал с «Телегой»: приложение для обхода замедления может читать ваши сообщения
Называющий себя приложением для обхода ограничений блокировки Telegram клиент «Телега» вновь оказался в центре скандала.
Пользователь «Хабра» с ником fox52 опубликовал детальный технический разбор Android-версии программы (2.4.2) и пришел к выводу, что оператор сервиса имеет полный доступ к переписке и медиафайлам пользователей.
По мнению аналитика, «Телега» выступает не просто посредником, а полноценной стороной процесса шифрования.
Согласно исследованию, при первом запуске приложение запрашивает у своего сервера список IP-адресов и подключается к ним, выдавая их за легитимные узлы Telegram. В результате весь трафик уходит на серверы, контролируемые АО «Телега», а не на официальные серверы мессенджера.
Fox52 также обнаружил в коде дополнительный RSA-ключ, отсутствующий в официальном клиенте. Этот ключ позволяет серверам «Телеги» считаться доверенными участниками криптографического обмена.
Автор заключает, что заявления разработчиков о «защищенности данных шифрованием Telegram» технически неверны, поскольку оператор становится не транзитным звеном, а полноценным субъектом, способным просматривать зашифрованный трафик.
Особое внимание исследователь уделил обработке медиафайлов. Фотографии, отправленные через «Телегу», перекодируются на сервере оператора. Визуально изображения не меняются, но их хеш-суммы и параметры сжатия отличаются.
Это указывает на то, что серверная инфраструктура получает доступ к содержимому снимков в расшифрованном виде и потенциально может изменять вложения.
Кроме того, fox52 утверждает, что секретные чаты в приложении либо работают некорректно, либо скомпрометированы. В коде также обнаружены механизмы для удаленной модерации и сбора дополнительной телеметрии.
В ходе эксперимента на специально настроенном стенде исследователь зафиксировал, что после входа в «Телегу» в официальном клиенте Telegram появлялась новая активная сессия, не инициированная пользователем.
Эта сессия имела в поле версии системы строку «iOS SDK 34» и геолокацию по IP-адресу из инфраструктуры оператора.
По мнению автора, это прямо подтверждает, что установка защищенного соединения проходит через промежуточные серверы. А это означает, что данные пользователей находятся под угрозой.
Уважаемые читатели «Царьграда»!
Присоединяйтесь к нам в соцсетях ВКонтакте, Одноклассники, Telegram и Дзен-канале.