Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Поток Информационная безопасность доступен 24/7 благодаря поддержке друзей Хабра
Комментарии 92
Публичный «исходный код» на GitHub не соответствует распространяемому APK.
То есть если пересобрать исходный код в АРК, то все станет хорошо?
«Открытый код» на GitHub
Оператор ссылается на Telegru как на исходный код. Я проверил.
Android. Публичный репозиторий
Telegru/Telegram-Android— это чистый upstream mirror отDrKLO/Telegram. Пакетorg.telegram.messenger, имя «Telegram», ни одного упоминания «Даль» или «Телега». Распространяемый APK — пакетru.dahl.messenger, десятки собственных интеграций. Связи между ними нет.
Получится, как я понимаю, обычный клиент Телеграма, который в текущих условиях просто не будет работать (блокировки и замедления)
Если взять публичный код с GitHub (Telegru/Telegram-Android) и собрать его — получится обычный Telegram. Он будет подключаться к настоящим DC Telegram (149.154.x.x), использовать штатные RSA-ключи, и работать как официальный клиент. Никакого MitM там нет — потому что его туда и не клали.
Весь инжект (подменённые DC на 130.49.152.0/24, четвёртый RSA-ключ, PASETO-авторизация на api.telega.info, AppMetrica, Mlist-цензура) живёт в приватном дереве, из которого собирается APK в Google Play. На GitHub выложена витрина.
ну можно маленько пересобрать телеграм, пусть он притворяется телегой и использует их сервера.. ну куда-то в эту сторону.. не получится?
нет, не получится. Телега принимает только свой ключ шифрования. Остальные рудименты оставшиеся от оригинального клиента телеграм.
Получится, но с говорками - процесс не тот.
Пример канал https://t.me/telega_proxies выкладывает прокси выковаренные из telega. В api https://api.telega.info/v1/dc-proxy только одна часть, там нет секрета. К этой MTPROTO проксе можно подключиться обычным официальным клиентом telegram и их не банят :)
Вот что я не могу понять - зачем в телеге ключи к mtproxy-серверам, которые могут быть использованы обычным телеграмом. По идее же клиент телеги коннектится к их API собственным протоколом, а коннект к телеграмовским прокси происходит уже внутри их бэкэнда.
Технический анализ особо никто не проверял. А он не отражает полностью действительность - но за любую критику этого анализа сольют карму. (Чувства верующих)
В реальности в telega 3 режима работы - telegram, telega, telega что-то там. Но как оно будет работать - зависит от поля dc_version из api. А самое интересное, при запуске telega стучится в бота @dahl_auth_bot и передает auth_key_id (не из-за этого ли висит еще одна сессия?). Там 4.4 млн пользователей, а про него никто ничего не написал.
p.s. дальше пока не раскопал - самому шарится по декомпилироемому коду сложно, а в GLM токены кончились. Да и уж очень на это много времени надо.
p.s. 2. Еще интересней десктопный клиент (там многое прям в коде оставлено, видно даже hex редактором), но опыта с IDA Pro у меня вообще нет. По хорошему надо разбирать с 3 сторон - wireshark трафика, анализ кода в jadx по apk и ida pro по exe.
Я правильно понимаю, что эти mtproxy можно безопасно использовать в обычном клиенте телеграма, и диалоги\звонки будут не доступны, клоунам из АО «Телега» ? При этом они не будут банится роскомпозором?
По-идеи mtproxy ничем от обычного socks5 прокси не отличается?
Нужно было переключить ветку с "master" на "release" у них там есть 2 коммита причем очень много изменений, но последние правки были 7 месяцев назад.
По поводу фото, они же всегда при отправке перекодируются, если только не были отправлены файлом
По хорошему, подобная информация является основанием для возбуждения уголовного дела против АО «Телега» и это не только из-за неправомерного доступа к компьютерной информации, но и за нарушение закона о рекламе и наверно еще ЗЗПП.
Боюсь, всё упрется в отстутствие представительства у оригинального "Телеграма" на территории РФ.
Это ещё нарушает УК ЕС и США, если нормально доказательства собрать и оформить, то разрабы не смогут в отпуск даже в турцию и Китай летать.
Если дело и откроют, то по отношению к автору. Напомню, согласно нового закона, сначала надо сообщить об найденной уязвимости сначала разработчику или в ФСБ, а только потом уже можно будет публиковать. Автор явно не сообщил не разработчикам ни ФСБ, зато своей публикацией мог сорвать контртерорестические мероприятия и пойти соучастником.
Напомню, что сдача жилья планировавшим нападение на Крокус, стало основанием для пожизненного заключения без права на досрочное освобождение. В случае возврата смертной казни (о чём просят в ФСБ), их расстреляют.
А о какой “уязвимости” тут идет речь, если это явный скам, мошенничество и введение в заблуждение с рекламой несуществующих возможностей у товара(услуги)? Хотя это не исключает потенциальные проблемы у автора, раз он вскрыл подобную тему. Может все таки и должно быть? :-)
Как страшно жить, когда получаешь информацию по методу ОБС
Правильно ли я понимаю, что вы думаете, что иск против ФСБ может к чему то привести?
А вообще интересно, насколько суд вот эти все технические детали способен учитывать, даже с помощью экспертов? Это вообще реально?
А разве АО «Телега» это ФСБ?
Думается, у АО есть своя крыша, потому весь этот иск - пук. Поэтому очевидность ответа на риторический вопрос
Правильно ли я понимаю, что вы думаете, что иск против ФСБ может к чему то привести?
остаётся.
У всех есть или может быть крыша,а АО не является структурным подразделением ФСБ. То, что по иску будет пук, я не сомневаюсь, но это не отменяет возможности подачи иска или хотя бы заявления в Прокуратуру.
О, кстати! Можно и в ФСБ заявление написать, или куда там нужно, что АО Телега предоставляет доступ к заблокированной информации в обход средств контроля трафика (раз она позволяет читать информацию в Телеграме) :-)
В чём основания для уголовного дела? Воспроизведение сообщений на сервере Телеги прямо упоминается в её описании, и её пользователей, надо полагать, это устраивает. Так что автор статьи молодец, что разобрался с техническими моментами, но он доказал общеизвестный факт.
Юридическая позиция АО "Телега", как я её себе представляю, состоит в том, что они предоставляют временный инструмент для чтения нескольких телеграм-каналов, не успевших ещё переехать в Макс.
Сходное до степени смешения названия и логотипы, направленные на введение пользователя в заблуждение о связи между двумя разными продуктами.
Насчет неправомерного использования торговых знаков должен возмущаться их владелец, а вот насчет введения в заблуждение может быть инициирована и обычным пользователем.
Кроме этого у них в лицензии https://telega.me/privacy есть ссылки на оригинальный мессенджер и другие очень интересные пункты:
1.7 Весь Контент обрабатывается правообладателем Telegram на Условиях Telegram. Лицензиар не обрабатывает (в том числе не хранит) информацию Пользователя, включая данные о чатах, контакты и любой другой Контент Пользователя.
Но это неправда (и обрабатывает и хранит). К тому же данное утверждение противоречит следующему пункту:
1.8 Обработка персональных данных осуществляется Оператором на территории Российской Федерации.
Но ведь оператор обрабатывает данные и сам и за счет использвания оригинального Телеграма, а он точно не в России.
…
и это только с самого начала
Флаг вам в руки. Только, боюсь, всё упрётся в тот факт, что проправительственное приложение не должно преследоваться.
вот это уже вполне нормальный анализ, а не как обычно "я посмотрел запрашиваемые разрешения, там ой-ой всё плохо"
про JPEG - проведите такой же тест на обычном тележном клиенте, есть подозрение, что сервак тоже картинку поменяет
Спасибо. Я проведу такой тест когда буду рядом со стендом.
Так такой анализ уже был. И про подмену дс и серт и компрметацию, и что исходники не соответсвуют бинарникам. https://habr.com/ru/companies/femida_search/articles/1000558/ только там был пересказ постов и комментов из itaysonlab, а тут больше на полноценную статью похоже.
не знаю как сейчас, а раньше у них там был еще зашит mtproxy который потенциально неподвержен митм в отличии от dc-proxy, и можно было использовать в родном клиенте. Вроде и в белые списки попадал (но тут не уверен, не проверял)
Телеграм не просто меняет картинку, он пережимает её безобразно шакальным образом.
«Телега» читает ваш Telegram
Я думаю, что бОльшая часть аудитории хабра и так это понимала.
как донести это до масс, которым "а мне скрывать нечего..." а потом ой на меня кредит оформили...
Более того - если у кого-то (с кем вы общались в ЛС или чатах ТГ) стоит телега - то ВСЕ ваши сообщения с ним и в чате СЛИТЫ.
Использовать мессенджер по его прямому назначению - передача сообщений, а все пдн передавать как положено в виде архива с паролем, а пароль на архив по второму каналу?
Даже через телеграм никогда не кидал пересланные в открытом виде, они так же собираются на серваках. Это же очевидно
Я думаю, что бОльшая часть аудитории хабра и так это понимала
нет, «и так понятно, все так говорят» не подходит, подобные обвинения должны быть подкреплены техническим разбором.
Технический разбор нужен, если есть желание что-то официально предъявить.
Для принятия личного решения о (не)использовании вполне достаточно базовой минимизации рисков: есть сомнение - идёт лесом.
есть сомнение - идёт лесом
хм, а у вас есть софт, в котором вы не сомневаетесь?
у меня нет. даже с собранным самолично могут быть варианты, а уж распространяемый бинарно…
Я смотрю не на софт, а на продукт в целом и модель рисков. Вот мои повседневные дела живут в Todoist. Могу я быть уверен, что они конфиденциальны? - нет. Но даже если владелец сервиса мои задачи читает, то максимум, что он может - за меня их сделать. Риск приемлем.
С Телегой, очевидно, всё иначе, поэтому избегание - самая здравая стратегия.
«Что знают двое — знает и свинья» ©
Вас это удивило? Что кто-то вам сделал MitM на ровном месте? Хомячков же много
Оригинальный клиент телеграма тоже пережимает картинки, если не отправлять их "как файл". Так что по этому пункту тревога ложная, на мой взгляд.
Телеграмм получает изображение как файл исходный, и делает конвертацию. Телега делает то же самое. Механизмы просто разные. Зачем так сделали, кто его знает. Прочитать файл они и так могут.
Читают секретные чаты. Так их там нет, как можно читать то чего нет?
1) Разница в том, где происходит конвертация. В обычном Telegram клиент сжимает фото локально → отправляет на Telegram-сервер → получатель скачивает тот же файл. SHA-256 на стороне отправителя и получателя совпадают. В Telega между отправителем и Telegram-сервером стоит MitM-инфраструктура оператора на 130.49.152.0/24. Фото проходит через неё в расшифрованном виде и пере-упаковывается другим JPEG-кодировщиком (libjpeg вместо Android Skia). SHA-256 меняется — это доказательство, что фото было декодировано и заново закодировано на промежуточном узле.
2) Именно: оператор отключил их через Firebase Remote Config (enable_sc=false). Пользователь Telega не может ни создать секретный чат, ни принять входящее приглашение. А параллельно через MitM оператор получает Telegram-сессию с настройкой Секретные чаты: Принимать — то есть если кто-то отправит приглашение в secret chat, его примет сессия оператора. Пользователь этого не увидит, потому что клиент Telega секретные чаты не показывает. Двойной замок: отключено на клиенте, перехвачено на сессии.
По первому пункту не факт. Возможно он делает это на клиенте, но в части кода ниже отображения, тогда у вас в слое отображения будет исходный файл, а уже отправляется модифицированый. Проверить это достоверно можно только если сделать mitm на сетевом слое и посмотрев что уходит. Но и тут однозначности не будет, может быть сервер оригинального телеграмма делает перекодирование или даже клиент телеграмма.
Вы именно проследили, что файл отправлен в неперекодированном виде? (Это безотносительно к остальным пунктам разбора и к тому, что любой клиент по умолчанию считается недоверенным).
Специально аккаунт сделал чтобы оставить коммент. Вся эта ситуация кажется уже каким-то полным сюром, в голове не укладывается как такое может быть? Такое ощущение что уже вообще все знают что это МИТМ, что телега знает что все знают что это МИТМ, но при этом по поводу этой ситуации не делается совершенно ни-че-го, масштаб трагедии - миллионы пользователей, просто невообразимое количество информации утекло, да и не только информации а вообще контроля над аккаунтами. У Дурова есть абсолютно все возможности этому противодействовать, но он чета там про цифровое сопротивление только в своем канале может писать, еще и присваивая себе чужую работу (это про пр с фиксом прокси). Просто в шоке от бездействия абсолютно всех причастных - магазинам приложений тупо пофиг, сколько отправлено уже в плей протект жалоб, как оказывается умело справляется современный мир технологий с подобными угрозами! Дурову пофиг, самому телеграму пофиг, давно бы уже все сессии телеги были грохнуты если было бы не пофиг. Как будто делают это всё и приговаривают "хаха смотрите как мы можем, а вы ничего с этим не можете поделать". GlobalSign отозвал сертификат? Ничего страшного - щас у Let's Encrypt выпустим, у них все равно никакой системы против абузов нету, Cloudflare щас письмо счастья напишем, метку чтоб сняли, и Cloudflare такие ааа ну ок))
В копилку сюра - телеграм рекламировал неофициальный клиент в официальном клиенте, ещё задолго до всех этих разборок.
«Капитал», — говорит «Quarterly Reviewer», — «избегает шума и брани и отличается боязливой натурой. Это правда, но это ещё не вся правда. Капитал боится отсутствия прибыли или слишком маленькой прибыли, как природа боится пустоты. Но раз имеется в наличии достаточная прибыль, капитал становится смелым. Обеспечьте 10 процентов, и капитал согласен на всякое применение, при 20 процентах он становится оживлённым, при 50 процентах положительно готов сломать себе голову, при 100 процентах он попирает все человеческие законы, при 300 процентах нет такого преступления, на которое он не рискнул бы, хотя бы под страхом виселицы. Если шум и брань приносят прибыль, капитал станет способствовать тому и другому. Доказательство: контрабанда и торговля рабами» (T. J. Dunning, цит. соч., стр. 35, 36)."
Вы ещё скажите, что Дурову есть дело до пользователей) Вспоминая выгодное предложение взять премиум за день до официальной блокировки, в это особенно хорошо верится. Информация по раскрытой информации о пользователях по запросу властей для России по-прежнему скрыта, хотя подтверждённые случаи были. Ну и недавняя попытка попиариться за счёт работы сообщества - как вишенка на торте. Хотя его много кто защищает и оправдывает, называя “простой говорящей головой”
Ну вообще-то у клиента, хоть и опенсорс, есть владелец. Любая обнова, которую он выпускает, это их обнова. Никому не интересно кто сделал коммит, он правильно сделал акцент на то, что само исправление случилось.
Выгодное предложение очень умный шаг, люди очень выгодно взяли премку, а продажи редко выросли - это выгодно всем.
По раскрытию информации ничего не знаю, знаю только то, что государство всегда жаловалось на то, что телега им никогда не содействует и не отвечает.
Дурова есть дело, ему доверяют миллионы пользователей и совсем не зря
Никому не интересно кто сделал коммит
Кроме тех, кто сделал коммит, вероятно? https://habr.com/ru/articles/1019200/
это выгодно всем
Кроме тех, у кого Телеграм отвалился на следующий день на мобильном интернете. Хотя о проблеме было известно за месяц и решение сообщество уже подготовило.
что телега им никогда не содействует и не отвечает
Последний раз на моей памяти они жаловались, что телега отвечала недостаточно активно, на “никогда не содействует” это не похоже.
С другой стороны: Телеграм теперь предупреждает, когда на той стороне неродной клиент. Телегу эту из АппСтора таки вынесли. Маловато, конечно, но всяко не "ни-че-го".
Telega 2.4.2
Откуда апк? В RuStore и Google Play мне показывает 2.4.1.
Оператор создаёт полноценную Telegram-сессию с настройкой «Секретные чаты: Принимать» (по умолчанию). При открытии нового secret chat одной из e2e-сторон становится сессия оператора, а не реальное устройство. Оператор получает plaintext secret chat как одна из сторон ключевого обмена.
При использовании Telega скомпрометированы все чаты, включая секретные.
Все же требует уточнения, сравнивались ли отпечатки ключей по обе стороны обмена?
Помимо того, что секретные чаты скомпрометированы через MitM, они ещё и принудительно отключены в клиенте.
Ага, так понятнее, серверный MitM имеет право начинать и принимать секретные чаты, клиент на устройстве - нет.
P.S. Ключ от старого сертификата для .info находится в публичном доступе, пусть теперь он должен быть отозван
P.P.S. Любопытно было бы посмотреть, если бы эта статья была прочитана частью команды cf, которая снимала недавнюю метку. Ну и гуглу/эплу показать
Приложение мне прилетело на тестовый телефон. Потом оно было скачано через adb.
Про отпечатки ключей secret chat. Нет, отпечатки e2e-ключей в рамках этого исследования не сравнивались — для этого нужен второй аккаунт, который инициирует secret chat в сторону скомпрометированной сессии. Утверждение основано на том, что оператор-сессия имеет настройку Секретные чаты: Принимать (видно в Active Sessions Telegram), а клиент Telega при этом secret chats не показывает (enable_sc=false в Firebase RC). То есть если кто-то отправит приглашение — его примет сессия оператора, а пользователь об этом не узнает. Полноценный тест с верификацией emoji-fingerprint — следующий шаг.
Про ключ от сертификата .info. Интересно, можете дать ссылку?
Приложение мне прилетело на тестовый телефон. Потом оно было скачано через adb.
Мне такое не очень нравится, больше по душе когда есть независимые отправные точки для воспроизведения исследования другим человеком
хороший инженерный анализ. спасибо, автор!
была интуиция, что под видом open-source толкают malware, но тут прям факты налицо.
про мах/самех уже всё сказано, или есть поле для подобной работы? :-)
Потыкав палкой в операционную структуру компании и открытые финансовые данные за 2025 год получаем, что проект на 200млн. руб. финансирования, убыточный, без понятной декларируемой модели монетизации. Имеет множество признаков аффилированности с ВК.
Подозреваю, что от реакции AppStore и остальных по навешиванию ярлыков spyware, у руководства проекта знатно припекает и возможна постановка вопроса о закрытии этой богадельни.
А были разве какие-то сомнения, что без сквозного шифрования сервер читает сообщения клиента?
бесплатный сыр бывает только... производства "роскомнадзор"
Хорошее подробное исследование, спасибо вам. А как правильно теперь это все в google / apple отправить чтобы они заблокировали?
По моему эти действия клиента уже тянут на уголовное преступление, может кто нибудь с паспортов ЕС или США там зарегается, соберет улики и отправит заявку в суд?
Пусть разрабы этой помойки станут невыездными
А я напомню о необходимости пройти по ссылке (со всех своих гугл-аккаунтов и знакомых попросить):
https://support.google.com/googleplay/android-developer/contact/policy_violation_report
имя пакета:
ru.dahl.messenger
Упс. Зарегистрировался.
Вероятно, есть смысл забанить засвеченые ip упомянутой AS всеми, имеющими такую возможность, в разнообразных домашних (и не очень) квн-ах. Ну, чтобы внешний ip не связывать с внутренним.
Я честно не очень знаю, насколько всё плохо, но на всякий случай спрошу - заочно будем считать, что все переписки и чаты людей, которые скачали и вошли в телегу - скомпрометированы. Но что насчёт существующих секретных чатов (не новых)? Они ведь привязываются к устройству, и с другого устройства (даже при авторизации) прочитать его не получится. Или я ошибаюсь? Подскажите пожалуйста, кто поумней, умерьте (ну или раздуйте) мою тревогу
Да, вы всё правильно понимаете. Изучить подробности можно по ссылке.
Вы будете сильно удивлены если начнете копать в этом направлении. Я бы рассказал много интересного, но NDA. Если разрешат, могу аккуратненько подсказать в каком направлении копать.
Но что насчёт существующих секретных чатов (не новых)? Они ведь привязываются к устройству, и с другого устройства (даже при авторизации) прочитать его не получится
Да, нет никакой синхронизации
4. ФУНКЦИИ СЕРВИСА ТЕЛЕГА4.1 Ввиду технических особенностей Сервиса Телега одной из его доступных функций является воспроизведение данных, отображаемых в Аккаунте Пользователя Telegram.
Замечательный пункт.
Но по факту, из-за чего возня то? Это конкретный mitm по определению.
Вопрос почему официальный телеграм их не заблочил? до сих пор?
Между отправителем и получателем кто-то декодировал фотографию, пропустил через свой сервер и упаковал заново. Кто — очевидно: инфраструктура оператора в
130.49.152.0/24.
Стесняюсь спросить, а через ванильный тг проверили пересылку картинки?
Помимо того, что секретные чаты скомпрометированы через MitM, они ещё и принудительно отключены в клиенте.
Так они отключены или скомпрометированы?
Можем ли мы изменение и перекодировку графического файла использовать для опознания клиента? Послать файл , а потом попросить его получить обратно?
Разбери ayugram пожалуйста. Тоже крайне популярный клиент, но не позиционируется как с обходом блокировок
Скачал его из Гугл плей чтоб оставить негативный отзыв со ссылкой на статью и вот что сразу же мне сказал телефон
я завёл тестовый аккаунт и прошёл онбординг в Telega на эмуляторе Android 14.
Результат: в настоящем Telegram-клиенте на другом устройстве появилась активная сессия, которой я не создавал.
Ты определись, авторизацию проходил или нет? Или тут претензии только к телеге, а другие сессии (с других приложений) - норм?
Стоит официальный телеграмм и бета версия, в устройствах обе сессии светятся... Караул, бета версия не оригинал, самопроизвольно влазит создаёт сессию, а же ее не создавал. (Это по логике автора)
Рука-лицо... Дальше особо читать не стал, если уж в таких мелочах ошибки.... К дальнейшему одни вопросы
Результат: в настоящем Telegram-клиенте на другом устройстве появилась активная сессия, которой я не создавал.
Ты определись, авторизацию проходил или нет?
Я пока не вижу противоречия. Ты создаешь сессию находясь в стране А, но сессия у тебя появляется из страны Б. При этом у сессии есть право создавать и принимать секретные чаты, но приложение которое я использую это не позволяет сделать. У тебя не возникает вопросов? А ещё можно потестировать будет ли меняться страны сессии при включении vpn. В норме - должна по гео IP последнего подключения
Стоит официальный телеграмм и бета версия, в устройствах обе сессии светятся... Караул, бета версия не оригинал, самопроизвольно влазит создаёт сессию, а же ее не создавал. (Это по логике автора)
Ты что-то додумал за автора самостоятельно
Ничего я не додумывал. Или автор хотел, что после авторизации, чтобы сессия не появилась? Вот тогда бы точно был ахтунг. А так, все сессии одного аккаунта отображаются и это правильно, это не может быть проблемой, как указал автор. С vpn хороший вопрос, не следил за сессиями, но замечал, что сессия ноута отображалась как из нидерланд (там ВПН всегда крутится).
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
«Телега» читает ваш Telegram. Техническое исследование мессенджера, который обещает «Telegram без VPN»