Если вы думали, что главная головная боль современного человека — это выбор между «быть или не быть», то вы глубоко ошибаетесь. Сегодня дилемма звучит иначе: «Телега или Телеграм?». И нет, речь не о средствах передвижения для колхозников, а о судьбе ваших переписок, голосовых сообщений и, конечно, нервных клеток. Пока Роскомнадзор играет в увлекательную игру «Не потерплю! Разорю!», а Павел Дуров где-то там философствует о свободе, на российском рынке появляются «спасители» — сторонние клиенты. Самый громкий из них — приложение «Телега». Разработчики обещают райские кущи: звонки летают, как в добрые старые времена без VPN, интерфейс радует глаз, и вообще — «всё будет, как в 2007 или хотя бы 2017». Но если халява, как известно, бывает только в мышеловке, то бесплатный сыр с функцией «обход блокировок» пахнет как минимум жареным. Мы решили разобраться, в чем же подвох, вооружившись не только здравым смыслом, но и данными аудита кода. Спойлер: там есть на что посмотреть (и от чего волосы встают дыбом).
Подвох №1: «Свой парень» из Казани и его друзья из VK
Начнем с лирики. Разработала «Телегу» казанская компания «Даль». Казань — город хлебосольный, но в мире кибербезопасности дружба измеряется не количеством выпитого чая, а количеством SDK в коде.
И тут нас ждет первый сюрприз. Заглянув под капот приложения, специалисты обнаружили там целый букет технологий от VK. Тут тебе и трекер MyTracker для сбора аналитики, и SDK звонков от «Одноклассников», и даже собственный корневой сертификат от OK. Разработчики, конечно, открещиваются: мол, использовали «лучшие решения на рынке на стандартных коммерческих условиях». Звучит так же убедительно, как «я просто зашел посмотреть на мебель, а оказался в клубе».
Спрашивается: зачем мессенджеру, который якобы просто помогает обходить блокировки, «сердце» от соцсети для поиска одноклассников? Не потому ли, что настоящий хозяин «Телеги» — вовсе не казанская «Даль», а большой VK-холдинг, которому очень нужны ваши метаданные? Ведь прошлый стартап этой команды они уже купили. История повторяется, но теперь нам предлагают скачать «независимое» приложение, которое с гордостью несет в себе генетический код Big Tech. В общем, если вы думали, что уходите от слежки в Telegram, то в «Телеге» вы просто пересаживаетесь из такси в автобус, где водитель — VK, а кондуктор — «Одноклассники».
Подвох №2: Прокси-сервера, которые видят всё (или почти всё)
Главная «фишка» Телеги — это «Телега-режим» (Telega Mode). Говоря по-русски, это когда ваше приложение перестает смотреть на серверы Telegram и начинает смотреть на серверы Телеги. По сути, разработчики подменили адреса дата-центров: клиент думает, что стучится к Дурову, а на самом деле стучится к ребятам из Казани.
Схема работает так: ваш трафик идет на прокси-серверы Телеги, а уж оттуда — к настоящему Telegram. Да, содержимое сообщений при этом остается зашифрованным протоколом MTProto. Расшифровать ваши «привет, как дела?» прокси не могут. Но вот метаданные — кто, кому, когда, сколько пакетов и с какого IP — ложатся на серверы разработчиков ровным слоем.
Представьте, что вы отправляете письмо в конверте. Обычная почта знает только адрес. А в «Телеге» появляется курьер, который сначала забирает письмо у вас, несет его на свою базу, фотографирует конверт со всех сторон, а потом уже относит адресату. Содержимое письма не прочитано, но факт переписки, ваш график и круг общения теперь известны третьей стороне. И эта третья сторона, как мы помним из подвоха №1, имеет самое прямое отношение к VK.
Подвох №3: Звонки, которые слышат «Одноклассники»
Вот тут начинается настоящий цирк с конями. РКН заблокировал звонки в Telegram. «Телега» говорит: «Не проблема! Звоните через нас!». Но как это работает? Разработчики взяли и целиком вырезали родную VoIP-систему Telegram, заменив её на... SDK звонков из «Одноклассников».
Да-да, те самые ребята, у которых вы давно забыли пароль от аккаунта, теперь отвечают за ваши интимные разговоры с мамой и деловые переговоры с начальником. Код приложения честно показывает, что сигнализация звонков уходит на calls.okcdn.ru, а для соединения используется API-ключ CHKIPMKGDIHBABABA (выглядит как пароль от Wi-Fi в баре, но нет, это серьезно).
И это еще полбеды. Самое «веселое» — в коде VoIP-модуля обнаружена полностью отключенная проверка SSL-сертификатов. Что это значит на практике? Это значит, что любой человек (или организация) с доступом к вашей сети (провайдер, владелец Wi-Fi, хакер с рацией) может подменить сервер «Одноклассников» на свой и слушать ваши разговоры в реальном времени.
Подумайте об этом, когда в следующий раз будете через «Телегу» рассказывать номер своей карты или обсуждать, где закопали клад. Технически, для VK ваши звонки — это не "end-to-end encryption", а "open-mic night". Они уверяют, что не слушают, но когда у вас в коде стоит disableCertificateCheck(), доверие к этим уверениям тает быстрее мороженого в пустыне.
Подвох №4: Слежка за слежкой и 75 разрешений
«Телега» очень хочет знать о вас всё. И не только то, что вы ей рассказываете, но и то, о чем вы даже не подозреваете. Встроенный трекер MyTracker отправляет на серверы VK не просто обезличенную статистику, а вполне конкретные события: когда вы залогинились, кому звонили, как долго говорили и, что особенно пикантно, используете ли вы VPN.
Параметр vpn_enabled шлется с каждым чихом. По сути, «Телега» — это такой стукач, который докладывает большому брату: «Смотрите, этот товарищ пытается скрыться! Включил ВПН!». Если вы используете «Телегу» именно для того, чтобы скрыть свои следы, вы делаете это с включенным маячком на спине.
Но аппетиты приложения не ограничиваются интернет-активностью. Зайдите в настройки разрешений Android. Вы будете удивлены: официальному Телеграму нужно около 30-40 разрешений. «Телега» запрашивает 75. Среди них — установка приложений (REQUEST_INSTALL_PACKAGES), фоновая геолокация (ACCESS_BACKGROUND_LOCATION) и рекламный ID. Зачем мессенджеру самому ставить программы без спроса? Почему он хочет знать ваше местоположение, даже когда вы им не пользуетесь? Разработчики молчат. Но помните старую поговорку: если приложение бесплатно (или просто скачивается), то товар — это вы. А тут еще и 75 способов этот товар упаковать и продать.
Подвох №5: Право на ошибку, которое вы подписываете
И последний, самый циничный подвох. «Телега» — это форк (копия с изменениями) открытого кода Telegram. Звучит безобидно, но на практике это означает, что приложение может делать всё, что захочет, в любой момент, без вашего ведома.
В коде обнаружена система удаленной конфигурации (Remote Config). Это значит, что разработчики могут в любой момент изменить поведение приложения на вашем телефоне, даже без обновления из магазина. Захотели — отключили секретные чаты (та самая опция disable_secret_chats). Захотели — принудительно разлогинили всех пользователей. Захотели — начали собирать еще больше данных.
Вы не владелец своего аккаунта в этом клиенте. Вы — арендатор, который за право пользоваться услугами (рабочие звонки) отдал ключи от квартиры управляющей компании. И если завтра «Даль» продаст бизнес, или хакеры взломают их серверы конфигурации, или (не дай бог) менеджер по маркетингу просто нажмет не ту кнопку в админке — ваши данные, уведомления и доступ к аккаунту окажутся под угрозой.
Заключение: Бензопила или скальпель?
Итак, возвращаясь к нашему заголовку: «Телега вместо Телеграм: в чем подвох?» Подвох в том, что вы меняете шило на мыло, которое к тому же оказалось бомбой с часовым механизмом.
Да, если вы обычный пользователь, который не ведет переписки государственной важности, а просто хочет, чтобы маме звонилось без VPN, и вам глубоко плевать, что VK знает о вашем звонке, — «Телега» может показаться удобной. Она действительно работает там, где официальный клиент пасует. Это как купить бензопилу, чтобы открыть консервную банку: грубо, эффективно, но с вероятностью отпилить себе ногу.
Но как только речь заходит о приватности (звонки без проверки сертификатов), контроле (75 разрешений) и долгосрочной безопасности (удаленное управление приложением), «Телега» превращается в крайне рискованный эксперимент.
Поэтому выбор за вами. Либо вы пользуетесь официальным Telegram с ручной настройкой прокси, жертвуя удобством ради безопасности. Либо вы ставите «Телегу», понимая, что теперь ваши метаданные пылятся на серверах VK, звонки может слушать кто угодно (технически), а разработчики, если захотят, могут одним щелчком пальцев отключить ваши секретные чаты. Просто помните: если вам кажется, что вы нашли способ обмануть систему, скорее всего, система просто нашла способ на вас заработать. В данном случае — на ваших контактах, привычках и звонках.
Делитесь своими опытом использования Телеги, ставьте "приватность персональной жизни" и подписывайтесь, чтобы видеть изнаночную сторону популярных финансовых решений)