Bezpieczeństwo alternatywnych klientów Telegram dla Androida: ryzyka analityki i proxy
Eksperci przetestowali osiem popularnych alternatywnych klientów Telegrama na Androida. Wszystkie są potencjalnie niebezpieczne z powodu wycieków danych, analityki i modyfikacji protokołu. Oficjalny klient Telegrama minimalizuje trackery, ale forki często dodają SDK do reklam i zbierania metadanych.
Przetestowane aplikacje obejmują oficjalny Telegram, Telegram X, Plus Messenger, Nekogram, Graph Messenger, Telega, iMe oraz klientów z F-Droid (Forkgram, Mercurygram). Główne problemy: przekazywanie danych na rosyjskie serwery, Firebase Analytics i reklamowe SDK.
Przekazywanie danych do Rosji
Trzy klienty — Telega, Graph Messenger i iMe — wysyłają dane na serwery w Rosji. Stwarza to ryzyko dostępu struktur siłowych zgodnie z lokalnym prawem. Telega jest najbardziej krytyczna: aplikacja potajemnie podstawia serwery Telegrama swoimi własnymi w Kazaniu. Cały ruch MTProto jest kierowany przez rosyjskie proxy, co potwierdzono deszyfrowaniem HTTPS i analizą pcap.
Taki podejście MITM pozwala na przechwytywanie wiadomości, metadanych i sesji bez powiadamiania użytkownika. Inne klienty z rosyjskimi śladami:
- Telega: MyTracker, OK.ru (VK Group);
- iMe: ad.mail.ru (VK Group).
Firebase Analytics i reklamowe SDK
Firebase Analytics jest aktywny w trzech klientach jawnie (Plus Messenger, Graph Messenger, iMe) oraz w Nekogram (nie jest wyłączony). Oficjalny Telegram go deaktywuje, ale alternatywy przywracają zbieranie danych Google: użycie aplikacji, kontakty, zachowanie w czatach.
Liczba reklamowych SDK koreluje z ryzykiem:
- Graph Messenger: 6 SDK;
- iMe: 15+ SDK;
- Plus Messenger: 1 SDK.
Te mechanizmy zbierają telemetrię przekazywaną stronom trzecim. Oficjalny klient i Telegram X pokazują czysty profil z minimalnymi uprawnieniami.
Trojany podszywające się
Znaleziono trojana podszywającego się pod Telegram X. To nie fork, lecz pełne oprogramowanie szpiegowskie chińskiego pochodzenia. Funkcje trojana:
- Kradzież sesji Telegram;
- Automatyczne dołączanie do kanałów;
- Przechwytywanie i zastępowanie wiadomości;
- Przejmowanie konta.
Telegram X od dewelopera Viacheslav Krylov jest wysoko oceniony: ma mniej trackerów niż oficjalny klient. Instalacja z niezaufanych źródeł zwiększa zagrożenia.
Co ważne
- Telega podstawia serwery MTProto rosyjskimi proxy — potwierdzone ruchem sieciowym;
- Firebase Analytics w 4/8 klientach przekazuje dane Google;
- Reklamowe SDK (do 15+) w iMe i Graph Messenger zwiększają wycieki;
- Trojan pod Telegram X kradnie sesje i przejmuje konta;
- Oficjalny klient i Telegram X — najbardziej bezpieczne.
Zalecenia dla deweloperów i użytkowników
Deweloperzy forków powinni publikować kody źródłowe i audyty. Użytkownicy: sprawdzajcie uprawnienia, analizujcie ruch za pomocą Wireshark lub mitmproxy. Unikajcie APK z nieoficjalnych źródeł. Dla middle/senior: monitorujcie ruch sieciowy alternatywnych klientów za pomocą tcpdump i ssldump dla MTProto.
— Editorial Team
Brak komentarzy.