В клиенте Telega обнаружили признаки MITM-перехвата трафика Telegram. Создатели форка никак это не комментируют

Исследователи считают, что нашумевшее приложение Telega, основанное на базе Telegram, с 18 марта могло начать перехватывать трафик мессенджера Павла Дурова по схеме Man-in-the-Middle.

Соответствующий материал c полноценным разбором клиента Telega для Android был опубликован на специальном сайте исследователями, пожелавшими скрыть свои личности.

Man-in-the-Middle (MITM, «человек посередине») — это тип кибератаки, при котором жертвы считают, что общаются напрямую, но на самом деле весь трафик проходит через атакующего.

Что выяснили исследователи?

По данным исследователей, с 18 марта клиент запрашивает у api.telega.info конфигурацию dc-proxy со списком IP-адресов и подставляет их вместо адресов дата-центров Telegram. При этом в криптографическую библиотеку добавлен дополнительный RSA-ключ, которого нет в оригинальном клиенте Telegram.

• Авторы разбора утверждают, что это позволяет Telega принимать новое «рукопожатие сессии» на своей стороне и проксировать весь трафик между пользователем и Telegram через собственную инфраструктуру.

• «Рукопожатие сессии» (handshake) — автоматизированный процесс обмена сообщениями между двумя устройствами (клиентом и сервером) для установления связи перед началом передачи данных.

• Исследователи уверяют, что для активации такого сценария в приложении используется принудительный разлогин, после которого пользователь заново входит в аккаунт уже через изменённую цепочку соединения.

• Проблема в том, что такой перехват нельзя было бы массово включить без пересоздания сессии. Авторы разбора утверждают, что в клиент Telega встроен механизм soft logout, который очищает конфигурацию аккаунта, удаляет ключ сессии и разрывает соединения.

• При этом запускаться он может несколькими способами, в том числе через промо-баннер с предложением «перезайти в приложение, чтобы ускорить соединение». Это объясняет, как схема могла быть развёрнута не только для новых пользователей, но и для существующей аудитории.

Авторы исследования отдельно указывают, что в Telega отключена Perfect Forward Secrecy (это автоматическая система безопасности Telegram на случай компрометации ключа), а входящие запросы на секретные чаты могут игнорироваться. На поддоменах telega.info исследователи также обнаружили тестовые панели Zeus и Cerberus:

• Zeus описывается как тикет-система для обработки запросов на блокировку контента, в том числе с упоминанием адреса stream@rkn.gov.ru.

• Cerberus описывается как интерфейс для модерации сообщений в реальном времени с ИИ-классификацией и быстрыми санкциями против пользователей.

При включении соответствующей настройки клиент отправляет запросы на api.telega.info/v1/api/blacklist/filter, после чего может блокировать открытие каналов, чатов, ботов, профилей и историй, создавая впечатление, будто ограничение исходит от самой платформы.

Ещё один важный блок расследования касается секретных чатов. Исследователи пишут, что Telega получает remote config через Firebase, где флаг enable_sc сейчас выставлен в значение false:

• Если простым языком: клиент скрывает кнопку запуска секретного чата, а входящие запросы на секретный чат может просто не принимать без явного уведомления пользователя.

• Если это действительно так, то речь идёт уже не только о перехвате обычного трафика, но и о целенаправленном отключении сценариев защищённых end-to-end переписок, которые в Telegram существуют отдельно от обычных облачных переписок.

Из разбора можно сделать вывод, что это могли быть лишь прототипы, однако найденная архитектура указывает на наличие факторов системного подхода разработчиков Telega к модерации и ограничению контента пользователей Telegram.

Если выводы проведённого анализа верны, то владельцы такой инфраструктуры теоретически получают доступ не только к переписке и истории сообщений Telegram, но и к возможности подмены контента и выполнению действий от имени аккаунта.

Создатели форка Telega это расследование публично не комментировали.

«Код Дурова» ранее рассказал, что известно о проекте, поделился комментариями источника из VK и ответами на вопросы от создателей Telega: