Paskelbtame tyrime teigiama, kad „Telega“, alternatyvi „Telegram“ klientė, turi modifikacijų, kurios įgalina „žmogaus tarp savęs“ ataką ir išjungia pagrindinius „Telegram“ kriptografinės apsaugos elementus. „Telega“ klientas naudoja originalų kodą. Android- „Telegram“ klientas, platinamas pagal GPLv2 licenciją, tačiau neatskleidžia atliktų pakeitimų, priešingai nei reikalaujama licencijos.
Išvada dėl galimybės perimti naudotojų srautą pagrįsta keliais techniniais radiniais, aptiktais dekompiliavus APK paketą, išanalizavus bibliotekas ir ištyrus tinklo skambučius:
- „Telegram“ klientas nukreipia srautą per savo infrastruktūrą: paleidęs jis pasiekia api.telega.info/v1/dc-proxy ir gauna JSON „duomenų centrų“ sąrašą, kuris pakeičia oficialius „Telegram“ adresus. Tai iš esmės priverčia klientą užmegzti ryšius su neoriginaliais adresais. serveriai, bet per „Telegram“ tarpinį serverį. Tokį elgesį galima paaiškinti bandymu apeiti tiesioginės prieigos prie „Telegram“ serverių blokus. Naudodami oficialius „Telegram“ viešuosius raktus, tarpiniai serveriai gali nukreipti tik užšifruotą srautą į serveriai „Telegram“, tačiau jie negali pasiekti turinio be privačių raktų, naudojamų oficialiuose „Telegram“ serveriuose.
- Versijoje buvo aptiktas papildomas viešas RSA raktas, kurio nėra oficialiuose „Telegram“ klientuose. Užmegzdama užšifruotus seansus su savo serveriais, „Telegram“ gali naudoti savo viešąjį raktą, kurio atitinkamas privatusis raktas yra žinomas.
- Adreso pakeitimas kartu su savo viešojo rakto naudojimu leidžia vykdyti „žmogaus tarpo“ ataką, kuri leidžia skaityti visus gaunamus ir siunčiamus pokalbių pranešimus, peržiūrėti pokalbių istoriją, keisti pranešimų turinį ir atlikti bet kokius veiksmus vartotojo paskyroje be jam dalyvaujant.
- PFS (tobulos persiuntimo slaptumo) mechanizmai ir slaptų E2E pokalbių palaikymas kliento programoje yra arba išjungti pagal numatytuosius nustatymus, arba valdomi nuotolinės konfigūracijos, pasiekiamos per tą patį nuolatinės srovės tarpinį serverį (klientas ignoruoja slaptus pokalbius ir paslepia jų kūrimo vartotojo sąsajos elementus).
- Kode yra ištrinti filtrai / juodieji sąrašai (užklausos adresu api.telega.info/v1/api/blacklist/filter), kurie leidžia kliento pusėje savo nuožiūra slėpti kanalus, profilius ir pokalbius. serveris.
„Telega“ pozicionuojama kaip „Telegram“ klientas, pagrįstas atvirojo kodo pranešimų programa“, kuria galima naudotis be VPT, o projekto puslapyje teigiama, kad „visa informacija yra saugiai apsaugota „Telegram“ šifravimo nuo galo iki galo“. „Telegram“ kanalas „Telega“, turintis daugiau nei 5 milijonus prenumeratorių, anksčiau buvo patvirtintas, tačiau rašymo metu patvirtinimo žymos nebuvo. „Telega“ autorizacijos robotas turi daugiau nei 6 milijonus naudotojų per mėnesį.
Šaltinis: opennet.ru
