Zpět na domů

Telega nahrazuje servery Telegramu: technická analýza

Technický audit Telega odhalil podměnu Telegram DC za servery operátora, zachycení auth_key a kompromitaci tajných chatů. Fotografie se překódovávají, telemetrie shromažďuje bajty podle typů obsahu. Veřejný kód neodpovídá APK.

Rozbor Telega: jak klient krade sezení Telegramu
Advertisement 728x90

Technická analýza Telega: Podměna serverů a zachycení relací Telegramu

Alternativní klient Telega přesměrovává provoz z oficiálních serverů Telegramu na vlastní infrastrukturu v Kazani (AS203502, podsíť 130.49.152.0/24). Při prvním spuštění aplikace požaduje konfiguraci přes HTTPS na api.telega.info/v1/dc-proxy a obdrží JSON se seznamem 25 IP adres, které se vydávají za Telegram DC.

{
  "dc_version": 2,
  "dcs": [
    {"id":1, "addresses":[
      {"host":"130.49.152.50","port":443},
      {"host":"130.49.152.20","port":443}
    ]}
  ]
}

Všechny adresy patří operátorovi Telega. Důvěra je zajištěna injektovaným RSA klíčem (otisk 0x2c945714333b5ebd) v knihovně libtmessages.49.so, který chybí v oficiálním Telegramu. Servery podepisují MTProto-handshake tímto klíčem, klient přijímá spojení.

Operátor generuje auth_key – klíč přístupu k účtu. Výsledkem je v oficiálním Telegramu neautorizovaná relace.

Google AdInline article slot

Dynamický experiment: Potvrzení MitM

Na emulátoru Android 14 s testovacím účtem po onboarding v Telega se v oficiálním klientovi objevila nová relace:

  • Verze systému: iOS SDK 34 (falešná, zkomolenina iOS + Android API level).
  • Geolokace: Rusko (podle IP serveru, navzdory falešnému GPS v Helsinkách).
  • IP adresa: Žádné údaje.
  • Tajné chaty: Přijímat.

Každý uživatel si to může ověřit: Nastavení → Zařízení → Aktivní relace. Relace s „iOS SDK 34“ ukazuje na Telega.

Kompromitace tajných chatů a médií

Relace operátora má nastavení „Tajné chaty: Přijímat“. Při iniciaci secret chat se jednou stranou E2E výměny stává server operátora, který dostává plaintext.

Google AdInline article slot

Fotky z galerie (ne soubory) se překódují:

  • Odeslání souboru: SHA-256 shodný.
  • Odeslání fotky: SHA-256 se mění, velikost 2539 → 2298 bajtů, jiná JPEG knihovna.

Server dekóduje, zpracovává a reenkóduje obrázek, vidí obsah v otevřeném textu.

Tajné chaty jsou navíc blokovány: Firebase Remote Config vrací enable_sc: false. Volání Telegramu jsou tvrdě vypnutá v kódu (isTelegramCallFallbackEnabled() = false).

Google AdInline article slot

Telemetrie a cenzura

Denně Telega posílá statistiky na stats.telega.info:

POST /v1/network/usage
{
  "items": [
    {"content_type":"message", "wifi":{"incoming":3096242, "outgoing":870670}},
    {"content_type":"video", "wifi":{"incoming":8766576, "outgoing":0}}
  ]
}

Údaje podle typů obsahu (bajty dovnitř/ven po WiFi/mobilních), vázané na user ID přes PASETO v4.local.

Mechanismus cenzury (ru.dahl.messenger.moderation):

  • Firebase zapíná moderation_enabled.
  • Klient táhne Mlist z api.hub.telega.info (user_id, channel_id).
  • Zprávy se skrývají lokálně.

Analýza kódu a pískoviště

Veřejný GitHub (Telegru/Telegram-Android) – čistý upstream bez podměny DC nebo RSA klíče. APK (ru.dahl.messenger) obsahuje soukromé úpravy.

Pískoviště tria.ge pro APK SHA-256 efb7a89496e11af0bd8516a7a571a723a393be62feaf542810f999200ffcbe9c: 8/10 hrozeb.

Signatury MITRE ATT&CK:

  • T1426: detekce rootu (8).
  • T1407: dynamické načítání DEX/JAR (7).
  • T1424: výčet procesů (7).
  • T1421: síťová rekognoskace (6).
  • T1422: data operátora (6).

Dále: dvojitá AppMetrica, PII na /v1/api/account, autopřihlášení @telegaru, volání přes VK.

Co je důležité

  • Telega podměňuje Telegram DC za své servery, zachytává auth_key a vidí plaintext média.
  • Relace se maskují jako „iOS SDK 34“, snadno detekovatelné v nastavení Telegramu.
  • Tajné chaty jsou blokované a kompromitované MitM.
  • Telemetrie a cenzura řízené ze serveru bez aktualizací APK.
  • Veřejný kód neodpovídá binárnímu souboru.

— Editorial Team

Advertisement 728x90

Číst dál