Technická analýza Telega: Podměna serverů a zachycení relací Telegramu
Alternativní klient Telega přesměrovává provoz z oficiálních serverů Telegramu na vlastní infrastrukturu v Kazani (AS203502, podsíť 130.49.152.0/24). Při prvním spuštění aplikace požaduje konfiguraci přes HTTPS na api.telega.info/v1/dc-proxy a obdrží JSON se seznamem 25 IP adres, které se vydávají za Telegram DC.
{
"dc_version": 2,
"dcs": [
{"id":1, "addresses":[
{"host":"130.49.152.50","port":443},
{"host":"130.49.152.20","port":443}
]}
]
}
Všechny adresy patří operátorovi Telega. Důvěra je zajištěna injektovaným RSA klíčem (otisk 0x2c945714333b5ebd) v knihovně libtmessages.49.so, který chybí v oficiálním Telegramu. Servery podepisují MTProto-handshake tímto klíčem, klient přijímá spojení.
Operátor generuje auth_key – klíč přístupu k účtu. Výsledkem je v oficiálním Telegramu neautorizovaná relace.
Dynamický experiment: Potvrzení MitM
Na emulátoru Android 14 s testovacím účtem po onboarding v Telega se v oficiálním klientovi objevila nová relace:
- Verze systému: iOS SDK 34 (falešná, zkomolenina iOS + Android API level).
- Geolokace: Rusko (podle IP serveru, navzdory falešnému GPS v Helsinkách).
- IP adresa: Žádné údaje.
- Tajné chaty: Přijímat.
Každý uživatel si to může ověřit: Nastavení → Zařízení → Aktivní relace. Relace s „iOS SDK 34“ ukazuje na Telega.
Kompromitace tajných chatů a médií
Relace operátora má nastavení „Tajné chaty: Přijímat“. Při iniciaci secret chat se jednou stranou E2E výměny stává server operátora, který dostává plaintext.
Fotky z galerie (ne soubory) se překódují:
- Odeslání souboru: SHA-256 shodný.
- Odeslání fotky: SHA-256 se mění, velikost 2539 → 2298 bajtů, jiná JPEG knihovna.
Server dekóduje, zpracovává a reenkóduje obrázek, vidí obsah v otevřeném textu.
Tajné chaty jsou navíc blokovány: Firebase Remote Config vrací enable_sc: false. Volání Telegramu jsou tvrdě vypnutá v kódu (isTelegramCallFallbackEnabled() = false).
Telemetrie a cenzura
Denně Telega posílá statistiky na stats.telega.info:
POST /v1/network/usage
{
"items": [
{"content_type":"message", "wifi":{"incoming":3096242, "outgoing":870670}},
{"content_type":"video", "wifi":{"incoming":8766576, "outgoing":0}}
]
}
Údaje podle typů obsahu (bajty dovnitř/ven po WiFi/mobilních), vázané na user ID přes PASETO v4.local.
Mechanismus cenzury (ru.dahl.messenger.moderation):
- Firebase zapíná moderation_enabled.
- Klient táhne Mlist z api.hub.telega.info (user_id, channel_id).
- Zprávy se skrývají lokálně.
Analýza kódu a pískoviště
Veřejný GitHub (Telegru/Telegram-Android) – čistý upstream bez podměny DC nebo RSA klíče. APK (ru.dahl.messenger) obsahuje soukromé úpravy.
Pískoviště tria.ge pro APK SHA-256 efb7a89496e11af0bd8516a7a571a723a393be62feaf542810f999200ffcbe9c: 8/10 hrozeb.
Signatury MITRE ATT&CK:
- T1426: detekce rootu (8).
- T1407: dynamické načítání DEX/JAR (7).
- T1424: výčet procesů (7).
- T1421: síťová rekognoskace (6).
- T1422: data operátora (6).
Dále: dvojitá AppMetrica, PII na /v1/api/account, autopřihlášení @telegaru, volání přes VK.
Co je důležité
- Telega podměňuje Telegram DC za své servery, zachytává auth_key a vidí plaintext média.
- Relace se maskují jako „iOS SDK 34“, snadno detekovatelné v nastavení Telegramu.
- Tajné chaty jsou blokované a kompromitované MitM.
- Telemetrie a cenzura řízené ze serveru bez aktualizací APK.
- Veřejný kód neodpovídá binárnímu souboru.
— Editorial Team
Zatím žádné komentáře.