На фоне замедления Telegram в России начала набирать популярность Telega — сторонний клиент для пользователей мессенджера Павла Дурова, но без технических ограничений и замедлений.
Накатать телегу: популярный клиент Telegram обвинили в слежке за пользователями
По мнению анонимной группы исследователей, клиент Telega с 18 марта получил доступ к перепискам пользователей в Telegram.
Unsplash
И пусть неофициальные клиенты Telegram — дело привычное, так как клиентская часть кода открыта, к Telega сразу возникли вопросы: как им удается обходить блокировки, если сервера Telegram систематически замедляют? Появилось мнение, что качественная работа Telega — следствие того, что сервис создан отечественными разработчиками и тесно сотрудничает с властями.
А уже сегодня появилась информация, что использование Telega чревато рисками. В частности, ваши переписки могут читать разработчики клиента, а если они сотрудничают с российскими властями — то и власти.
Так, группа исследователей, пожелавших остаться анонимными, заявила, что с 18 марта Telega могла начать перехватывать трафик мессенджера Павла Дурова по схеме Man-in-the-Middle.
То есть: Telega не является просто кастомным клиентским приложением. Сервис делает так, чтобы сообщения пользователей сначала уходили на их сервера, а уже после отправлялись на сервера Telegram, а уже оттуда — получателю сообщения.
Комментарий от разработчиков: Мы действительно используем собственную прокси-инфраструктуру — и открыто об этом говорим. Это необходимо для обеспечения стабильной работы клиента в условиях нестабильного соединения. Важно: прокси не изменяет криптографическую модель MTProto и не влияет на безопасность сессии. Сообщения пользователей по-прежнему передаются по протоколу MTProto, который не работает через TLS и использует собственную систему шифрования.
Такую схему нельзя провернуть с зашифрованными чатами, поэтому в Telega их просто не существует. А значит приватная переписка попросту невозможна.
Также авторы исследования отдельно указывают, что в Telega отключена Perfect Forward Secrecy (это автоматическая система безопасности Telegram на случай компрометации ключа), а входящие запросы на секретные чаты могут игнорироваться. На поддоменах telega.info исследователи также обнаружили тестовые панели Zeus и Cerberus:
- Zeus описывается как тикет-система для обработки запросов на блокировку контента, в том числе с упоминанием адреса stream@rkn.gov.ru.
- Cerberus описывается как интерфейс для модерации сообщений в реальном времени с ИИ-классификацией и быстрыми санкциями против пользователей.
Комментарий от разработчиков: Perfect Forward Secrecy отвечает за ротацию ключей, а не за сам факт шифрования. Даже при изменении параметров соединения MTProto остаётся зашифрованным, и переписка не становится «читаемой». В клиентах некоторые из параметров делаются гибкими, чтобы можно было гарантировать стабильную работу приложения. Такие настройки используются, чтобы: снижать массовые обрывы соединений, помогать приложению работать стабильнее при сложных условиях сети и временно стабилизировать трафик.
И если разработчики Telega посчитают, что пользователь писал что-то противоправное, включится система Cerberus. Последствия будут не очень приятными: клиент отправляет запросы на api.telega.info/v1/api/blacklist/filter, после чего может блокировать открытие каналов, чатов, ботов, профилей и историй, создавая впечатление, будто ограничение исходит от самой платформы.
Наконец, у разработчиков Telega есть техническая возможность перехватывать управление аккаунтом. И это не шутки. Пусть пока найденные в клиенте кусочки кода могут быть прототипами, найденная архитектура прямо указывает на наличие факторов системного подхода разработчиков Telega к модерации и ограничению контента пользователей Telegram.
Комментарий от разработчиков: утверждение о «перехвате управления аккаунтом» абсурдно, такой сценарий противоречит самой логике работы Telegram, где доступ к аккаунту жёстко привязан к авторизационным ключам.
Также разработчики «Телеги» сообщили, что у них отсутствует модерация пользовательских сообщений на уровне клиента. Единственный сценарий, где применяется модерация — это комментарии в официальном канале проекта. Она используется для защиты от спама, мошенничества и токсичного контента (мат, 18+, треш-контент) и не распространяется на личные переписки, чаты или каналы пользователей.