Volver al inicio

Análisis de Seguridad 'Telega': Violaciones GPL y Ataques MitM

Descubre las vulnerabilidades críticas del cliente 'Telega' de Telegram, incluyendo violaciones de licencia GPL, el certificado raíz ruso y riesgos de ataques MitM. Protege tus datos.

Análisis Crítico de Seguridad del Cliente 'Telega' de Telegram
Advertisement 728x90

Análisis Crítico de Seguridad del Cliente de Telegram 'Telega': Violaciones de Licencia y Amenazas Ocultas de Ataques MitM

'Telega', comercializado como un cliente de Telegram 'orientado a la juventud' con supuesta apertura y capacidades de elusión de censura, tras un análisis detallado de ingeniería inversa, reveló vulnerabilidades de seguridad críticas, graves violaciones de la licencia GPL v2 y posibles mecanismos para la interceptación no autorizada de tráfico. Un descubrimiento clave fue la integración del certificado raíz del Ministerio de Desarrollo Digital de Rusia, que, combinado con la validación de certificados deshabilitada, crea las condiciones para ataques Man-in-the-Middle (MitM) en toda regla. Esto plantea riesgos significativos para la confidencialidad e integridad de los datos del usuario.

Supuesta Apertura vs. Riesgos Ocultos

Los desarrolladores del cliente 'Telega' lo promocionan activamente como una solución de Código Abierto capaz de eludir bloqueos y garantizar un funcionamiento estable. Sin embargo, los intentos de acceder al código fuente, que se afirma que es abierto, han encontrado obstáculos: el sitio web oficial carece de enlaces a repositorios, y las solicitudes de soporte y los mensajes de chat son eliminados o ignorados. Esto por sí solo arroja dudas sobre la sinceridad de sus afirmaciones de apertura.

Un análisis posterior del Acuerdo de Licencia de Usuario Final (EULA) reveló contradicciones directas con los principios del software libre. Específicamente, el EULA afirma 'derechos exclusivos sobre el Mensajero' para el licenciante, a pesar de que el cliente, según se descubrió, es un fork de Telegram para Android, distribuido bajo la licencia GPL v2. Esto significa que los desarrolladores de 'Telega' están obligados a proporcionar el código fuente y no tienen derecho a restringir su copia o distribución. En cambio, el EULA contiene cláusulas que prohíben explícitamente 'vender, reproducir, copiar el Mensajero', lo que constituye una flagrante violación de la GPL v2. Además, se cita la Licencia de Software Boost 1.0 para TDLib como referencia de 'código abierto', lo que solo rige una de las bibliotecas utilizadas, no el cliente principal. También se encontraron cláusulas que permiten la modificación unilateral de la funcionalidad sin previo aviso y la suscripción forzada de usuarios a canales, mientras que la responsabilidad del desarrollador se limita a una suma simbólica de 500 rublos (aproximadamente $5-6 USD).

Google AdInline article slot

Vulnerabilidades Técnicas y Fallos Arquitectónicos

La ingeniería inversa del archivo APK de 'Telega' reveló varias decisiones técnicas preocupantes. Por ejemplo, las llamadas de los usuarios se enrutan a través de los servidores de la red social rusa 'Odnoklassniki' (calls.okcdn.ru), lo que plantea interrogantes sobre la confidencialidad del tráfico y la idoneidad de tal elección para un cliente 'orientado a la juventud'. Otra peculiaridad es que la gestión de Perfect Forward Secrecy (PFS) se maneja en el lado del servidor. Esto significa que el propietario del servidor podría deshabilitar el PFS, reduciendo así el nivel de seguridad de sesiones pasadas si las claves a largo plazo se ven comprometidas.

El mecanismo de elusión de censura, promocionado como una de sus ventajas clave, también está implementado con fallos críticos. El cliente solicita las direcciones actuales del centro de datos (DC) a través de una solicitud HTTP a https://api.telega.info/v1/dc-proxy. Sin embargo, el código carece de mecanismos para verificar la firma de la respuesta de este servidor, y el TrustManager está deshabilitado (simulado), lo que significa una ausencia total de validación de certificados.

// Example code demonstrating the lack of certificate validation
// (TrustManager is stubbed out)
public class InsecureTrustManager implements X509TrustManager {
    @Override
    public void checkClientTrusted(X509Certificate[] chain, String authType) throws CertificateException {
        // Always trust, without validation
    }

    @Override
    public void checkServerTrusted(X509Certificate[] chain, String authType) throws CertificateException {
        // Always trust, without validation
    }

    @Override
    public X509Certificate[] getAcceptedIssuers() {
        return new X509Certificate[0];
    }
}

Esto permite que un atacante que realice un ataque Man-in-the-Middle (MitM) en la ruta a api.telega.info falsifique la respuesta y redirija todo el tráfico del usuario a su servidor controlado. En la arquitectura estándar de Telegram, un proxy (MTProto Proxy) no tiene acceso a las claves de cifrado y no puede ver el contenido de los mensajes, mientras que la arquitectura de 'Telega' potencialmente permite que el tráfico sea enrutado a cualquier lugar, haciéndolo vulnerable.

Google AdInline article slot

Amenaza Crítica: Certificado del Ministerio de Desarrollo Digital y Ataques MitM

El descubrimiento más alarmante fue la presencia del certificado raíz resources/res/raw/rootca_ssl_rsa2022.cer dentro de los recursos del archivo APK de 'Telega'. Este no es otro que el certificado de CA Raíz de Confianza Rusa, emitido por el Ministerio de Desarrollo Digital de Rusia. La inclusión de un certificado raíz emitido por el estado en una aplicación cliente es, en sí misma, una práctica inusual y potencialmente peligrosa. Combinado con la mencionada falta de validación de certificados (el TrustManager está deshabilitado) y la eliminación del mecanismo de Certificate Pinning, presente en el cliente original de Telegram, esto crea las condiciones ideales para un ataque MitM en toda regla.

El Certificate Pinning es un mecanismo que permite a una aplicación 'fijar' certificados esperados para dominios específicos, rechazando cualquier otro, incluso si están firmados por una autoridad raíz de confianza. Su ausencia en 'Telega', combinada con la confianza en el certificado raíz del Ministerio de Desarrollo Digital, significa que cualquiera que posea la clave privada de este certificado (por ejemplo, autoridades estatales o atacantes que la hayan obtenido) puede interceptar y descifrar todo el tráfico de usuarios de 'Telega' en tiempo real. Esto representa una amenaza directa a la confidencialidad y seguridad de las comunicaciones, transformando el cliente de una 'herramienta de elusión de bloqueos' en un potencial instrumento de vigilancia.

Fuga de Datos y Código Fuente Incompleto

El análisis de la actividad de red reveló que el cliente 'Telega' envía los siguientes datos a sus servidores (telega.info):

Google AdInline article slot
  • phone (número de teléfono)
  • ip (dirección IP)
  • deviceModel (modelo de dispositivo)
  • systemVersion (versión del sistema operativo)
  • authKeyId (identificador de clave de autorización de Telegram)

La transmisión de authKeyId a servidores de terceros es información particularmente sensible, ya que está directamente vinculada a la autorización del usuario dentro de la red de Telegram y puede utilizarse para su identificación. La supuesta naturaleza de código abierto también resultó ser una fachada, no solo por su indisponibilidad inicial, sino también porque los repositorios encontrados posteriormente en GitHub estaban incompletos y no contenían todo el código presente en el archivo APK. Esto erosiona aún más la confianza en los desarrolladores y sus afirmaciones de seguridad.

Conclusiones Clave del Análisis del Cliente de Telegram 'Telega':

  • Violación de la Licencia GPL v2: El cliente, basado en el código de Telegram para Android, incumple los términos de la licencia de código abierto al prohibir la copia y no proporcionar el código fuente.
  • Enrutamiento Inseguro de Llamadas: El uso de servidores de Odnoklassniki para llamadas de voz plantea preocupaciones de privacidad.
  • Mecanismo de Proxy Vulnerable: La falta de validación de firma y certificado al solicitar nuevos DC abre la puerta a ataques MitM.
  • Integración del Certificado Raíz del Ministerio de Desarrollo Digital: La CA Raíz de Confianza Rusa incrustada en la aplicación, combinada con el Certificate Pinning deshabilitado, permite la interceptación y descifrado del tráfico.
  • Fuga Extensa de Datos: Envío de números de teléfono, direcciones IP, datos del dispositivo y authKeyId a servidores de terceros de telega.info sin garantías de seguridad adecuadas.
  • Falsa Apertura: Las afirmaciones de Código Abierto resultaron ser falsas, socavando la confianza en el proyecto y sus desarrolladores.

Lo Importante:

  • El cliente 'Telega' contiene vulnerabilidades graves que pueden poner en peligro la confidencialidad y seguridad de los datos del usuario.
  • La integración del certificado raíz del Ministerio de Desarrollo Digital y la deshabilitación de las comprobaciones de seguridad básicas crean condiciones para la interceptación de tráfico patrocinada por el estado u otras partes controladas.
  • El uso de este cliente conlleva riesgos significativos para los usuarios, especialmente dada la transmisión de identificadores críticos a servidores de terceros.
  • Las afirmaciones de Código Abierto resultaron ser falsas, socavando la confianza en el proyecto y sus desarrolladores.
  • Los desarrolladores deberían adherirse estrictamente a los términos de la GPL v2 e implementar prácticas de seguridad estándar, incluyendo el Certificate Pinning y una validación rigurosa de certificados.

— Editorial Team

Advertisement 728x90

Leer después