Telegram-клиент «Telega» хорошо запрягал, но так ли это?

Тут такая история вышла — доступы к Telegram в России? Да, конечно, всех это коснулось. На этом фоне начал резко набирать популярность сторонний клиент под названием «Telega». И вот теперь он в центре скандала

Группа анонимных исследователей подняла тревогу: они считают, что приложение может вмешиваться в трафик между пользователем и серверами Telegram по схеме «Человек посередине» (она же MITM).

Давай разберу, в чём суть — постараюсь без слишком сложных терминов.

Кому интересна техничка:

По мнению исследователей, «Телега» работает не как обычный клиент Telegram. Обычно приложение подключается напрямую к дата‑центрам мессенджера, а тут получается какая‑то цепочка:

Сначала «Телега» получает от своего API список серверов — и это не стандартные адреса Telegram, а какие‑то другие. Потом приложение перенастраивает подключение на собственную инфраструктуру.

Но это ещё не всё! Ребята, которые анализировали код (они смотрели APK‑файл и нативную библиотеку клиента), нашли кое‑что странное: в «Telega» встроен дополнительный RSA‑публичный ключ. И вот что важно — его нет в официальном клиенте Telegram.

По версии исследователей, серверы «Telega» принимают этот ключ, а серверы Telegram — нет. Из‑за этого приложение потенциально может перехватывать первичное «рукопожатие» (MTProto) — то есть вставать «посередине» между тобой и настоящим сервером мессенджера.

Представь: приложение договаривается с тобой об одном ключе шифрования, с Telegram — о другом, а весь трафик между ними может кто‑то просматривать, сохранять или даже менять. Звучит тревожно, как будто начало ловить на парковке?

Пока нет независимых подтверждений, что так реально происходило на практике, но сама схема исследователей сильно насторожила. Дальше — больше. В «Телеге», как утверждают авторы анализа, по умолчанию отключена штука под названием Perfect Forward Secrecy (PFS). В обычном Telegram она нужна для того, чтобы даже если какой‑то ключ взломают, старую переписку всё равно не расшифровать. А в «Telega», похоже, эту функцию можно включать или выключать удалённо — через настройки с серверов приложения.

Ещё одна претензия касается секретных чатов. Исследователи говорят, что они там фактически отключены c удалённым флагом. То есть кто‑то может пытаться начать с тобой зашифрованный диалог, а ты даже не узнаешь — запросы просто игнорируются.

И на этом сюрпризы не заканчиваются. В приложении нашли признаки собственной системы модерации и фильтрации: «Телега» может обращаться к отдельному API, чтобы проверять пользователей, каналы, чаты и ботов по какому‑то внутреннему «чёрному списку».

Eсли объект попадает под фильтр, клиент показывает заглушку о недоступности материала — и выглядит это так, будто ограничение наложила сама платформа.

А вишенкой на торте стали найденные на поддоменах «Telega» тестовые стенды с названиями Zeus и Cerberus. Авторы анализа считают, что это части системы для блокировки контента и модерации сообщений — с ИИ‑анализом, автоудалением и автобаном. Но тут важно уточнить: речь идёт именно о тестовых панелях, а не о том, что все эти инструменты реально используются.

Что в итоге могут делать создатели клиента: Читать сообщения во всех чатах; Подменять контент в каналах и писать от вашего лица; Изучать старые переписки – в приложении отключена защита прошлых сессий; Блокировать секретные чаты – разработчики не смогли их вскрыть и просто вырезали функцию.

В общем, команда «Телеги», кстати, уже прокомментировала часть вопросов — в том числе слухи о возможной связи сервиса со структурами VK. Но пока вопросов всё равно больше, чем ответов…

Telegram ЗАБРАЛ галочку у официального канала клиента Telega после большого расследования о слежке за юзерами

Ну если описанное - правда, то это уже не клиент Телеграм, а нечто другое. И за введение пользователя в заблуждение к ним могут быть применены как санкции сторов, так и самого Телеграма (раньше они вроде бы умели отзывать ключи сторонних клиентов), или нет?

И кстати, получается ТГ теперь нужен функционал отображения того, каким клиентом пользуется собеседник. Потому как если у него установлено что-то подобное, то вся прайваси, которую обещает Дуров, идёт мимо в т.ч. для тех, кто решит пообщаться с пользователями этого приложения.