Er is een onderzoek gepubliceerd waarin wordt beweerd dat Telega, een alternatieve Telegram-client, aanpassingen bevat die een man-in-the-middle-aanval mogelijk maken en belangrijke elementen van Telegrams cryptografische beveiliging uitschakelen. De Telega-client gebruikt de originele code. Android- een Telegram-client die wordt gedistribueerd onder de GPLv2-licentie, maar die de wijzigingen die hij aanbrengt niet openbaar maakt, in strijd met de licentievoorwaarden.
De conclusie over de mogelijkheid om gebruikersverkeer te onderscheppen is gebaseerd op verschillende technische bevindingen die zijn ontdekt na het decompileren van het APK-pakket, het analyseren van bibliotheken en het bestuderen van netwerkoproepen:
- De Telegram-client leidt verkeer om via zijn eigen infrastructuur: bij het opstarten benadert hij api.telega.info/v1/dc-proxy en ontvangt een JSON-lijst met "datacenters" die in de plaats komen van de officiële adressen van Telegram. Dit dwingt de client in feite om verbindingen te maken met niet-originele adressen. serversMaar via een Telegram-proxy. Dit gedrag kan worden verklaard door een poging om blokkades op directe toegang tot Telegram-servers te omzeilen. Bij gebruik van de officiële publieke sleutels van Telegram kunnen proxy's alleen versleuteld verkeer omleiden naar Telegram. severen Telegram biedt toegang tot de content, maar zonder de privésleutels die op de officiële Telegram-servers worden gebruikt, hebben ze er geen toegang toe.
- Er werd een extra openbare RSA-sleutel gedetecteerd in de build, die niet aanwezig is in de officiële Telegram-clients. Bij het opzetten van versleutelde sessies met zijn servers kan Telegram zijn eigen openbare sleutel gebruiken, waarvan de bijbehorende privésleutel bekend is.
- Door adresvervanging te combineren met het gebruik van een eigen publieke sleutel, is het mogelijk een man-in-the-middle-aanval uit te voeren. Hiermee kan iemand alle inkomende en uitgaande chatberichten lezen, de gespreksgeschiedenis bekijken, de inhoud van berichten wijzigen en alle mogelijke acties uitvoeren op het account van een gebruiker zonder diens medeweten.
- PFS-mechanismen (Perfect Forward Secrecy) en ondersteuning voor geheime end-to-end-chats in de client zijn standaard uitgeschakeld of worden beheerd via een configuratie op afstand die toegankelijk is via dezelfde dc-proxy (de client negeert geheime chats en verbergt de UI-elementen voor het aanmaken ervan).
- De code bevat verwijderde filters/blacklists (verzoeken aan api.telega.info/v1/api/blacklist/filter), waarmee kanalen, profielen en chats aan de clientzijde naar eigen inzicht kunnen worden verborgen. server.
Telega wordt gepresenteerd als een "Telegram-client gebaseerd op de open source-code van de messenger" die zonder problemen gebruikt kan worden. VPNEn op de projectpagina staat dat "alle informatie veilig wordt beschermd door de end-to-end-encryptie van Telegram". Het Telegram-kanaal Telega, met meer dan 5 miljoen abonnees, was eerder geverifieerd, maar op het moment van schrijven ontbrak het verificatieteken. De Telega-autorisatiebot heeft meer dan 6 miljoen maandelijkse gebruikers.
Bron: opennet.ru
