안드로이드용 대체 Telegram 클라이언트 보안: 분석 및 프록시 위험
전문가들이 안드로이드용 8개의 인기 대체 Telegram 클라이언트를 테스트했습니다. 이들 모두 데이터 유출, 분석 기능, 프로토콜 수정으로 인해 잠재적으로 안전하지 않습니다. 공식 Telegram 클라이언트는 추적기를 최소화하지만, 포크 버전들은 종종 광고와 메타데이터 수집을 위한 SDK를 추가합니다.
테스트된 앱에는 공식 Telegram, Telegram X, Plus Messenger, Nekogram, Graph Messenger, Telega, iMe, 그리고 F-Droid 클라이언트(Forkgram, Mercurygram)가 포함됩니다. 주요 문제: 러시아 서버로의 데이터 전송, Firebase Analytics, 광고 SDK.
러시아로의 데이터 전송
세 클라이언트—Telega, Graph Messenger, iMe—가 러시아 서버로 데이터를 전송합니다. 이는 현지 법에 따라 법 집행 기관의 접근 위험을 초래합니다. Telega가 가장 심각합니다: 앱이 비밀리에 Telegram 서버를 카잔의 자체 서버로 교체합니다. 모든 MTProto 트래픽이 러시아 프록시를 통해 라우팅되며, HTTPS 복호화와 pcap 분석으로 확인되었습니다.
이 MITM 방식은 사용자 알림 없이 메시지, 메타데이터, 세션을 가로챌 수 있게 합니다. 러시아 연계 다른 클라이언트:
- Telega: MyTracker, OK.ru (VK Group);
- iMe: ad.mail.ru (VK Group).
Firebase Analytics와 광고 SDK
Firebase Analytics가 세 클라이언트(Plus Messenger, Graph Messenger, iMe)에서 명시적으로 활성화되어 있고, Nekogram에서도(비활성화되지 않음) 활성입니다. 공식 Telegram은 이를 비활성화하지만, 대체 클라이언트들은 앱 사용량, 연락처, 채팅 행동 등의 구글 데이터 수집을 복원합니다.
광고 SDK 수와 위험이 상관관계가 있습니다:
- Graph Messenger: 6 SDKs;
- iMe: 15+ SDKs;
- Plus Messenger: 1 SDK.
이 메커니즘들은 제3자에게 전송되는 텔레메트리를 수집합니다. 공식 클라이언트와 Telegram X는 최소 권한으로 깨끗한 프로필을 보입니다.
트로이 목마화된 가짜 앱
Telegram X로 위장된 트로이 목마가 발견되었습니다. 이는 포크가 아니라 중국산 본격 스파이웨어입니다. 트로이 목마 기능:
- Telegram 세션 도난;
- 채널 자동 가입;
- 메시지 가로채기 및 교체;
- 계정 장악.
개발자 Viacheslav Krylov의 Telegram X는 공식 클라이언트보다 추적기가 적어 높은 평가를 받습니다. 검증되지 않은 소스에서 설치하면 위협이 증폭됩니다.
주요 요약
- Telega가 MTProto 서버를 러시아 프록시로 교체—트래픽으로 확인;
- 8개 중 4개 클라이언트의 Firebase Analytics가 구글로 데이터 전송;
- iMe와 Graph Messenger의 광고 SDK(최대 15+) 유출 증가;
- Telegram X로 위장된 트로이 목마가 세션 도난 및 계정 장악;
- 공식 클라이언트와 Telegram X가 가장 안전.
개발자와 사용자 추천
포크 개발자들은 소스 코드와 감사 보고서를 공개해야 합니다. 사용자: 권한 확인, Wireshark나 mitmproxy로 트래픽 분석. 제3자 소스의 APK 피하기. 중/고급 수준: tcpdump와 ssldump를 사용해 대체 클라이언트의 네트워크 트래픽, MTProto 모니터링.
— Editorial Team
아직 댓글이 없습니다.