507 подписчиков
Telega и MITM-перехват Telegram-трафика: технический разбор и риски
В марте 2026 года вокруг неофициального клиента Telegram под названием Telega разгорелась новая волна обсуждений. Если ранее проект критиковали за модификации клиента и потенциальные риски приватности, то теперь исследователи заявляют о реализации полноценной схемы man-in-the-middle (MITM), при которой трафик пользователей может проходить через стороннюю инфраструктуру.
Согласно опубликованному техническому разбору, клиент Telega изменяет стандартную модель подключения к серверам Telegram. Вместо обращения к официальным дата-центрам мессенджера приложение запрашивает список IP-адресов с домена api.telega.info, относящихся к автономной системе AS203502. Эти адреса затем используются как точки подключения, подменяя реальные DC Telegram.
Ключевой элемент схемы — изменение криптографической части клиента. В библиотеку шифрования добавляется дополнительный RSA-ключ, отсутствующий в официальных клиентах Telegram. При стандартной работе клиент Telegram проверяет подлинность серверов через заранее зашитые публичные ключи. В случае Telega, как утверждается, клиент принимает «альтернативный» ключ, который не распознаётся оригинальной инфраструктурой Telegram, но принимается серверной частью Telega. Это создаёт условия, при которых пользователь фактически устанавливает защищённое соединение не с Telegram, а с промежуточным сервером.
Для активации новой схемы используется механизм принудительного пересоздания сессии. В клиент могут быть встроены триггеры — push-уведомления, deep link или UI-элементы с предложением «перезайти для ускорения соединения». После повторной авторизации происходит новое криптографическое рукопожатие, уже с использованием модифицированных параметров и ключей.
Если описанный механизм реализован именно так, как заявляют исследователи, это даёт оператору промежуточной инфраструктуры полный контроль над трафиком:
* чтение сообщений (включая историю переписки);
* перехват медиа и вложений;
* подмена контента;
* выполнение действий от имени пользователя.
Дополнительную обеспокоенность вызывает отключение механизмов безопасности. В частности, упоминается отсутствие Perfect Forward Secrecy (PFS) — свойства, при котором компрометация ключа не позволяет расшифровать ранее записанный трафик. В оригинальных клиентах Telegram подобные механизмы реализованы на уровне протокола MTProto, особенно для секретных чатов. В Telega, по утверждениям, секретные чаты могут быть отключены или игнорироваться на уровне клиента, например через удалённую конфигурацию.
Отдельный аспект — обнаруженные тестовые панели на поддоменах telega.info. В отчёте фигурируют:
* Zeus — система обработки запросов на блокировку контента;
* Cerberus — панель модерации сообщений с элементами автоматической классификации и санкций.
Хотя разработчики могут называть их прототипами, сама архитектура указывает на возможность централизованного анализа и управления пользовательским трафиком.
Сетевой анализ показывает, что автономная система Telega связана с инфраструктурой VK, что ранее уже обсуждалось в контексте маршрутизации звонков и сетевого трафика через связанные сервисы.
Важно понимать, что Telegram использует собственный протокол MTProto, который предполагает строгую проверку серверных ключей и исключает возможность прозрачного MITM без модификации клиента. Это означает, что подобные атаки возможны только при использовании изменённых или недоверенных приложений.
С практической точки зрения риск выходит за пределы одного пользователя. Любой, кто ведёт переписку с пользователем Telega, потенциально становится частью скомпрометированного канала, даже если сам использует официальный клиент.
Рекомендуемые меры:
* отказаться от использования сторонних клиентов, не прошедших аудит;
* установить официальный клиент Telegram;
* завершить все активные сессии в настройках безопасности;
* включить двухфакторную аутентификацию;
* при необходимости использовать прокси или VPN для защиты сетевого канала.
⬇️Поддержать автора⬇️
✅SBER: 2202 2050 1464 4675
3 минуты
2 дня назад