# 安卓替代 Telegram 客户端的安全性:分析与代理风险
专家测试了八款热门安卓 Telegram 替代客户端。它们全部存在潜在安全风险,主要源于数据泄露、分析追踪以及协议修改。官方 Telegram 客户端尽量减少了追踪器,但分支版本往往添加了用于广告和元数据收集的 SDK。
测试的应用包括官方 Telegram、Telegram X、Plus Messenger、Nekogram、Graph Messenger、Telega、iMe,以及 F-Droid 客户端(Forkgram、Mercurygram)。主要问题:向俄罗斯服务器传输数据、Firebase Analytics 和广告 SDK。
向俄罗斯传输数据
三款客户端——Telega、Graph Messenger 和 iMe——向俄罗斯服务器发送数据。这会带来当地执法机构根据本地法律访问数据的风险。Telega 问题最严重:该应用秘密地将 Telegram 服务器替换为位于喀山的自有服务器。所有 MTProto 流量均通过俄罗斯代理路由,经 HTTPS 解密和 pcap 分析确认。
这种中间人攻击方式可在不通知用户的情况下拦截消息、元数据和会话。其他与俄罗斯相关的客户端:
- Telega:MyTracker、OK.ru(VK Group);
- iMe:ad.mail.ru(VK Group)。
Firebase Analytics 和广告 SDK
Firebase Analytics 在三款客户端中明确启用(Plus Messenger、Graph Messenger、iMe),在 Nekogram 中也未禁用。官方 Telegram 已将其禁用,但替代客户端恢复了谷歌的数据收集:应用使用情况、联系人、聊天行为。
广告 SDK 数量与风险成正比:
- Graph Messenger:6 个 SDK;
- iMe:15+ 个 SDK;
- Plus Messenger:1 个 SDK。
这些机制会收集遥测数据并发送给第三方。官方客户端和 Telegram X 的权限要求最少,追踪记录干净。
木马化假冒应用
发现一款伪装成 Telegram X 的木马。这不是分支版本,而是功能齐全的中国产间谍软件。木马功能:
- 窃取 Telegram 会话;
- 自动加入频道;
- 拦截并替换消息;
- 账户接管。
开发者 Viacheslav Krylov 的 Telegram X 评价很高:追踪器比官方客户端少。从未验证来源安装会放大威胁。
主要结论
- Telega 用俄罗斯代理替换 MTProto 服务器——流量分析确认;
- 8 款中 4 款启用 Firebase Analytics,向谷歌发送数据;
- iMe 和 Graph Messenger 中的广告 SDK(最多 15+ 个)增加泄露风险;
- 伪装成 Telegram X 的木马窃取会话并接管账户;
- 官方客户端和 Telegram X 最安全。
对开发者和用户的建议
分支开发者应发布源代码和审计报告。用户:检查权限,使用 Wireshark 或 mitmproxy 分析流量。避免从第三方来源安装 APK。对于中高级用户:使用 tcpdump 和 ssldump 监控替代客户端的网络流量,特别是 MTProto。
— Editorial Team
暂无评论。