Isang pag-aaral ang nailathala na nagsasabing ang Telega, isang alternatibong Telegram client, ay naglalaman ng mga pagbabago na nagbibigay-daan sa isang man-in-the-middle attack at hindi pinapagana ang mga pangunahing elemento ng cryptographic protection ng Telegram. Ginagamit ng Telega client ang code ng orihinal na Telegram Android client, na lisensyado sa ilalim ng lisensyang GPLv2, ngunit hindi isinisiwalat ang mga pagbabagong ginagawa nito, taliwas sa mga kinakailangan sa lisensya.
Ang konklusyon tungkol sa posibilidad ng pag-intercept sa trapiko ng gumagamit ay batay sa ilang teknikal na natuklasan matapos i-decompile ang APK package, suriin ang mga library, at pag-aralan ang mga network call:
- Inililipat ng Telegram client ang trapiko sa pamamagitan ng sarili nitong imprastraktura: sa pagsisimula, ina-access nito ang api.telega.info/v1/dc-proxy at tumatanggap ng isang listahan ng JSON ng mga "data center" na pinapalitan ng mga opisyal na address ng Telegram. Epektibong pinipilit nito ang client na magtatag ng mga koneksyon sa mga hindi orihinal na address. mga server, ngunit sa pamamagitan ng isang proxy ng Telegram. Ang pag-uugaling ito ay maaaring ipaliwanag sa pamamagitan ng isang pagtatangka na laktawan ang mga bloke sa direktang pag-access sa mga server ng Telegram. Kapag ginagamit ang mga opisyal na pampublikong susi ng Telegram, ang mga proxy ay maaari lamang mag-redirect ng naka-encrypt na trapiko sa mga server Telegram, ngunit hindi nila ma-access ang nilalaman nang walang mga pribadong susi na ginagamit sa mga opisyal na server ng Telegram.
- May nakitang karagdagang pampublikong RSA key sa build, na wala sa mga opisyal na kliyente ng Telegram. Kapag nagtatatag ng mga naka-encrypt na sesyon sa mga server nito, maaaring gamitin ng Telegram ang sarili nitong pampublikong key, kung saan alam ang kaukulang pribadong key.
- Ang pagpapalit ng address kasama ang paggamit ng sariling public key ay nagbibigay-daan sa pagsasagawa ng man-in-the-middle attack, na nagbibigay-daan sa isang tao na basahin ang lahat ng papasok at papalabas na mensahe sa chat, tingnan ang history ng pag-uusap, baguhin ang nilalaman ng mga mensahe, at magsagawa ng anumang aksyon sa account ng isang user nang walang kanilang partisipasyon.
- Ang mga mekanismo at suporta ng PFS (Perfect Forward Secrecy) para sa mga sikretong E2E chat sa client ay maaaring hindi pinagana bilang default o kinokontrol ng isang remote configuration na maa-access sa pamamagitan ng parehong dc-proxy (hindi pinapansin ng client ang mga sikretong chat at itinatago ang mga elemento ng UI para sa paglikha ng mga ito).
- Ang code ay naglalaman ng mga tinanggal na filter/blacklist (mga kahilingan sa api.telega.info/v1/api/blacklist/filter), na nagpapahintulot sa pagtatago ng mga channel, profile at chat sa panig ng kliyente ayon sa desisyon. server.
Ang Telega ay nakaposisyon bilang isang "Telegram client batay sa open source code ng messenger" na maaaring gamitin nang walang VPN, at nakasaad sa pahina ng proyekto na "lahat ng impormasyon ay ligtas na protektado ng end-to-end encryption ng Telegram." Ang Telegram channel na Telega, na may mahigit 5 milyong subscriber, ay na-verify na noon, ngunit sa panahon ng pagsulat nito, wala pa ang marka ng beripikasyon. Ang Telega authorization bot ay may mahigit 6 milyong buwanang gumagamit.
Pinagmulan: opennet.ru
