Se ha publicado un estudio que afirma que Telega, un cliente alternativo de Telegram, contiene modificaciones que permiten un ataque de intermediario (man-in-the-middle) y desactivan elementos clave de la protección criptográfica de Telegram. El cliente Telega utiliza el código del cliente original de Telegram para Android, que está licenciado bajo la licencia GPLv2, pero no divulga las modificaciones que realiza, contraviniendo los requisitos de la licencia.
La conclusión sobre la posibilidad de interceptar el tráfico de los usuarios se basa en varios hallazgos técnicos descubiertos tras descompilar el paquete APK, analizar las bibliotecas y estudiar las llamadas de red:
- El cliente de Telegram redirige el tráfico a través de su propia infraestructura: al iniciarse, accede a api.telega.info/v1/dc-proxy y recibe una lista JSON de "centros de datos" que sustituyen a las direcciones oficiales de Telegram. Esto obliga al cliente a establecer conexiones con direcciones no originales. servidorespero a través de un proxy de Telegram. Este comportamiento puede explicarse por un intento de eludir los bloqueos al acceso directo a los servidores de Telegram. Al usar las claves públicas oficiales de Telegram, los proxies solo pueden redirigir el tráfico cifrado a servidores Telegram, pero no pueden acceder al contenido sin las claves privadas utilizadas en los servidores oficiales de Telegram.
- Se detectó una clave pública RSA adicional en la compilación, que no está presente en los clientes oficiales de Telegram. Al establecer sesiones cifradas con sus servidores, Telegram puede usar su propia clave pública, cuya clave privada correspondiente es conocida.
- La sustitución de direcciones combinada con el uso de la propia clave pública permite llevar a cabo un ataque de intermediario (man-in-the-middle), que posibilita leer todos los mensajes de chat entrantes y salientes, ver el historial de conversaciones, modificar el contenido de los mensajes y realizar cualquier acción en la cuenta de un usuario sin su participación.
- Los mecanismos PFS (Perfect Forward Secrecy) y la compatibilidad con chats secretos de extremo a extremo en el cliente están deshabilitados de forma predeterminada o controlados por una configuración remota accesible a través del mismo dc-proxy (el cliente ignora los chats secretos y oculta los elementos de la interfaz de usuario para crearlos).
- El código contiene filtros/listas negras eliminadas (solicitudes a api.telega.info/v1/api/blacklist/filter), que permiten ocultar canales, perfiles y chats en el lado del cliente por decisión. servidor.
Telega se posiciona como un “cliente de Telegram basado en el código fuente abierto del mensajero” que se puede utilizar sin VPNLa página del proyecto indica que "toda la información está protegida de forma segura mediante el cifrado de extremo a extremo de Telegram". El canal de Telegram Telega, con más de 5 millones de suscriptores, ya estaba verificado, pero al momento de redactar este informe, la marca de verificación no aparecía. El bot de autorización de Telega cuenta con más de 6 millones de usuarios mensuales.
Fuente: opennet.ru
