Telega − или как «слить себя за бесплатно»
Расследование инцидента с форком «Telega»
Утро 18 марта для пользователей альтернативного клиента Telega (telega.me) стало точкой невозврата. То, что позиционировалось как «удобный мессенджер с расширенными функциями», внезапно превратилось в гигантский пылесос для ваших данных. Пока многие пользовались сервисом, в коде программы произошли изменения, которые заставили специалистов по безопасности схватиться за голову. Наступило время расследования, где же именно зарыт наш Товарищ Майор?
Что такое Telega и с чем её едят?
Telega — это сторонний клиент (форк) Telegram, который обещает пользователям «улучшенный опыт», бесплатными премиум-фишками и дополнительным функционалом недоступные в официальном приложении. Стал популярен на фоне замедления Telegram, однако за красивой оберткой скрывается механизм, полностью подрывающий саму суть анонимности и безопасности оригинального приложения.
История происхождения сервиса тоже создаёт вопросы. Эксперты с самого начала подозревали связь проекта с структурами, близкими к VK и бывшим менеджерам Mail.ru.
Фанис Садыков и Александр Смирнов (основатели Telega) утверждают, что продали стартап «Даль» в VK год назад, а сейчас Telega лишь использует технологии VK, которые находятся в открытом доступе:
«Спешим опровергнуть теории заговора: использовать публично доступные технологии не равняется быть частью той или иной компании. Мы независимый проект.
В Telega мы действительно используем ряд публично доступных технологий от VK (в частности тестируем SDK VK звонков в дополнение к обычным звонкам Telegram).
Делаем мы это по той простой причине, что наш прошлый проект выкупил VK, и нам знакомы и понятны эти технологии (также как и сотням других разработчиков)».
Является ли это сервисом VK? Возможно, но точных доказательств этого нет, кроме использования технологий и серверов VK, конечно же. Но вернемся к основной теме.
Благодаря исследованию кода и сетевого трафика от dontusetelega.lol показало, что мы имеем дело с самой наглой реализацией атаки Man-in-the-Middle (MITM) в истории современных мессенджеров.
Технические дебри
Техническое расследование (всё также от dontusetelega.lol и некоторых сторонних разработчиков) вскрыло крайне нелицеприятные детали. В отличие от официального клиента, который общается с серверами Telegram напрямую через защищенные протоколы, Telega выстраивает свой путь через обходной путь. Весь ваш трафик, каждое сообщение и каждый файл уходят не в Telegram, а на промежуточный сервер разработчиков по адресу api.telega.me.
Это не просто «облачное ускорение» через их прокси, как пытаются заявить авторы в своем пользовательском соглашении. Это полноценное зеркальное повторение вашей активности. Сервер-посредник получает JSON-запросы в открытом для него виде, фактически выступая участником каждой вашей беседы. Но интересное дальше, в механизме авторизации.
Кража Auth_Key
Как именно приложение распоряжается вашим auth_key. В экосистеме Telegram этот ключ – это альфа и омега, инь и янь, от А до Я вашей безопасности, «мастер-ключ», который создается один раз при входе в сессию и позволяет обращаться к серверам от вашего имени без повторного ввода СМС-кода или авторизации.
Анализ сетевых пакетов подтвердил, что клиент Telega отправляет ваш токен авторизации на свои сервера. Это означает, что у злоумышленников в руках оказывается не просто доступ к переписке, а полный клон вашей сессии. Имея этот ключ на своем бэкенде, администраторы «Телеги» могут зайти в ваш аккаунт из любой точки мира, и вы даже не узнаете о «новом устройстве», потому что сессия технически уже открыта и авторизована. Они могут читать секретные чаты, скачивать медиафайлы и даже отправлять сообщения от вашего лица. Стоит уточнить, что такая уязвимость есть и у оригинального Telegram, однако это связанно с тем что ПК-версия приложения всё ещё портативная и ваш токен авторизации просто лежит на ПК, однако без доступа к вашим файлам, данный токен получить и использовать нельзя.
Это совсем не MTProto Proxy
Описанный выше подход отличается от обычных MTProto Proxy, доступных в официальном клиенте, они работают с данными, уже зашифрованными настоящим ключом Telegram. «DC Proxy» создает отдельный канал шифрования с сервером Telega, которому доступен весь трафик MTProto в открытом виде.
В MTProto это реализовано так, вместо использования долговременного, не меняющегосяauth_key, генерируется временный ключ шифрования temp_auth_key примерно раз в 1-2 суток и шифруют весь трафик с помощью него.
«ТГ-премиум» и реальность
Издание Код Дурова подтверждает массовые жалобы пользователей, после использования этого «чудо-форка» аккаунты начинают жить без оригинального владельца. Рассылка спама, участие в сомнительных группах и внезапные блокировки со стороны официального Telegram. Основная цель создателей Telega — это накопление колоссальной базы данных. В их соглашении прямо сказано, что они имеют право собирать и обрабатывать любую информацию, которую вы передаете через сервис. И они этим правом пользуются на полную.
Не пользуйтесь клиентом Telega
Мы, редакция AmSerg News, убедительно просим, не скачивать Telega, который не просто мелкий стартап, а реальный вирус; если вы уже им пользовались, то зайдите в официальный Telegram, перейти в раздел «Устройства» и нажать кнопку «Завершить все другие сеансы». Только тогда это аннулирует украденный ключ авторизации.
Если хотите и дальше пользоваться Telegram пользуйтесь исключительно официальным клиентом с функцией прокси-серверов. Использование любого другого клиента Telegram точно также ставит ваши персональные данные, аккаунт и устройство под угрозу.
Особая благодарность автору технического расследования