Powrót do strony głównej

Ryzyka klientów Telegram na Androida: analityka i proxy

Badanie 8 alternatywnych klientów Telegram dla Androida wykazało ryzyka wycieków danych do Rosji, Firebase Analytics i reklamowe SDK. Telega podstawia serwery proxy w Kazaniu. Odkryto trojana pod Telegram X.

Wycieki danych w forkach Telegram: Telega i trojany
Advertisement 728x90

Bezpieczeństwo alternatywnych klientów Telegram dla Androida: ryzyka analityki i proxy

Eksperci przetestowali osiem popularnych alternatywnych klientów Telegrama na Androida. Wszystkie są potencjalnie niebezpieczne z powodu wycieków danych, analityki i modyfikacji protokołu. Oficjalny klient Telegrama minimalizuje trackery, ale forki często dodają SDK do reklam i zbierania metadanych.

Przetestowane aplikacje obejmują oficjalny Telegram, Telegram X, Plus Messenger, Nekogram, Graph Messenger, Telega, iMe oraz klientów z F-Droid (Forkgram, Mercurygram). Główne problemy: przekazywanie danych na rosyjskie serwery, Firebase Analytics i reklamowe SDK.

Przekazywanie danych do Rosji

Trzy klienty — Telega, Graph Messenger i iMe — wysyłają dane na serwery w Rosji. Stwarza to ryzyko dostępu struktur siłowych zgodnie z lokalnym prawem. Telega jest najbardziej krytyczna: aplikacja potajemnie podstawia serwery Telegrama swoimi własnymi w Kazaniu. Cały ruch MTProto jest kierowany przez rosyjskie proxy, co potwierdzono deszyfrowaniem HTTPS i analizą pcap.

Google AdInline article slot

Taki podejście MITM pozwala na przechwytywanie wiadomości, metadanych i sesji bez powiadamiania użytkownika. Inne klienty z rosyjskimi śladami:

  • Telega: MyTracker, OK.ru (VK Group);
  • iMe: ad.mail.ru (VK Group).

Firebase Analytics i reklamowe SDK

Firebase Analytics jest aktywny w trzech klientach jawnie (Plus Messenger, Graph Messenger, iMe) oraz w Nekogram (nie jest wyłączony). Oficjalny Telegram go deaktywuje, ale alternatywy przywracają zbieranie danych Google: użycie aplikacji, kontakty, zachowanie w czatach.

Liczba reklamowych SDK koreluje z ryzykiem:

Google AdInline article slot
  • Graph Messenger: 6 SDK;
  • iMe: 15+ SDK;
  • Plus Messenger: 1 SDK.

Te mechanizmy zbierają telemetrię przekazywaną stronom trzecim. Oficjalny klient i Telegram X pokazują czysty profil z minimalnymi uprawnieniami.

Trojany podszywające się

Znaleziono trojana podszywającego się pod Telegram X. To nie fork, lecz pełne oprogramowanie szpiegowskie chińskiego pochodzenia. Funkcje trojana:

  • Kradzież sesji Telegram;
  • Automatyczne dołączanie do kanałów;
  • Przechwytywanie i zastępowanie wiadomości;
  • Przejmowanie konta.

Telegram X od dewelopera Viacheslav Krylov jest wysoko oceniony: ma mniej trackerów niż oficjalny klient. Instalacja z niezaufanych źródeł zwiększa zagrożenia.

Google AdInline article slot

Co ważne

  • Telega podstawia serwery MTProto rosyjskimi proxy — potwierdzone ruchem sieciowym;
  • Firebase Analytics w 4/8 klientach przekazuje dane Google;
  • Reklamowe SDK (do 15+) w iMe i Graph Messenger zwiększają wycieki;
  • Trojan pod Telegram X kradnie sesje i przejmuje konta;
  • Oficjalny klient i Telegram X — najbardziej bezpieczne.

Zalecenia dla deweloperów i użytkowników

Deweloperzy forków powinni publikować kody źródłowe i audyty. Użytkownicy: sprawdzajcie uprawnienia, analizujcie ruch za pomocą Wireshark lub mitmproxy. Unikajcie APK z nieoficjalnych źródeł. Dla middle/senior: monitorujcie ruch sieciowy alternatywnych klientów za pomocą tcpdump i ssldump dla MTProto.

— Editorial Team

Advertisement 728x90

Czytaj dalej