Там выяснили, что проект клиента Telega скрывает в себе определённые связи с ресурсами VK
Экс-разработчик Telegram выяснил, что клиент Telega скрывает в своём коде определённые связи с ресурсами в экосистеме VK. В компании ответили, что используют решения VK на коммерческих условиях, но не являются проектом VK.
Ранее проект Telega начали активно рекламировать в Telegram в РФ с упором на то, что там работают все звонки и многие опции без ограничений.
В прошлом посте, я писал, что начали закупать в Telegram рекламу мессенджера Telega, обещающего стабильную работу Telegram на территории РФ. И как я подозревал то, что эта Telega — является проектом VK, если взять APK и открыть декомпилятор.
Дальше будет сжатая информация с habr, кто шарит за это, можете перейти туда, тут я просто кратко перескажу.
Идём в ru.dahl.messenger.Extra и видим: → PROXY_ADDRESS = «dal.mvk.com», прокси‑адрес, запишем → MYTRACKER_SDK_KEY = «*», SDK‑ключ от трекера MyTracker, который принадлежит Mail VK Group → CALLS_BASE_URL = «https://calls.okcdn.ru/» — те самые рабочие звонки, которые на самом деле являются звонками через инфраструктуру Одноклассников, на которых работает MAX и VK Звонки.
Теперь берем dal.mvk.com: → который ведет на домен VKONTAKTE.RU → в декомпиляции официального клиента VK для Android можно найти референсы на «https://jira.mvk.com» (и вся реклама этого клиента в ТГ ведет на трекинг‑домен trk.mail.ru).
В клиенте обнаруживается прикольная вещь, это «черный список» нежелательных ТГ‑каналов, ботов и пользователей! При нажатии на которых выводится ТГ‑шная «заглушка» со своим текстом:
<string name="ContentIsUnavailable">Материалы недоступны</string> <string name="ContentUnavailableInfo">Этот %1$s недоступен в связи \n с нарушениями правил платформы</string>
Какие правила платформы? Telegram? но таких строчек нет в официальном клиенте Telegram :) и да - чёрный список включается по флагу из сервера, то есть они могут включить это в любой момент.
При этом в клиенте есть замена иконок на ВКшные. Всё бы ничего, но весь код замены был взят из такого малоизвестного клиента как Catogram, причем взяли все подчистую — те же названия переменных, методов, параметров и даже код тот же (даже тот же sparseInt сделали root‑level функцией Kotlin).
А забавный факт в том, что основной разработкой Catogram занимался... я
А ещё вот такие данные улетают при авторизации в этом приложении authKeyId это если что аналог авторизационного токена в Telegram, поэтому дело ЭКСТ VStillers живет UP: authKeyId не является прям серьёзной вещью, но номер телефона оно все равно сольёт
В мессенджер есть интеграция с VK Видео и VK Клипы. Причём брендинг ВК и навигация убирается JavaScript‑скриптом, чтобы пользователи нового менеджера сразу подвоха не заметили. А так же сливает номера телефонов на сервер ВКонтакте.
Бывший разработчик Telegram, написал на почту представителям Telega и те ответили на его вопросы:
- домен mvk.com был в одной из ранних сборок, когда мы использовали коммерческий пакет в VK Cloud;
- mvk.com все ещё является внутренним доменом VK и не относится к VK Cloud;
- SDK звонков также доступен любому разработчику; это не создаёт аффилированности и не предполагает передачу VK поьзовательского контента;
- vk.com/dev ничего не пишет о SDK VK Calls, как собственно и наличие публичного SDK не означает что API‑ключ выдают всем;
- Этот фрагмент — заглушка, которую проектировали для системы родительского контроля и в текущих релизах не используется;
- в приложении два чёрных списка — для родительского контроля и для «модерации» (те самые нарушения правил платформы) они существуют отдельно и второй список зависит от флага, который приходит при запуске приложения как и все в общем зависит от флагов;
- тот же раздел с VK Video/клипами тоже включается на стороне сервера, но они никогда не отображалась в проде.
Также другие разработчики обнаружили в репозитории проекта различные отсылки на VK (TGX):