Альтернативный Telegram-клиент «Телега» (Telega) снова попал под подозрения. Пользователь «Хабра» fox52 проанализировал версию 2.4.2 для Android и заявил, что оператор сервиса может получать полный доступ к переписке и файлам пользователей, выступая полноценной стороной шифрования.
По словам пользователя, приложение подключается не к серверам Telegram, а к собственной инфраструктуре АО «Телега». В коде найден дополнительный RSA-ключ, делающий серверы доверенными участниками обмена. Фото перекодируются после отправки, что доказывает доступ к содержимому. Секретные чаты, утверждает автор, либо не работают, либо скомпрометированы, а в коде есть механизмы модерации и сбора телеметрии.
В ходе эксперимента после авторизации в «Телеге» в официальном Telegram появилась неизвестная сессия с пометкой «iOS SDK 34» и неизвестный IP. Это, по мнению fox52, доказывает, что защищённое соединение проходит через промежуточные серверы, а заявления разработчиков о шифровании Telegram — некорректны.
Комментарии