返回首页

Telegram Android 客户端的风险:Analytics 和 Proxies

对 8 个 Android 替代 Telegram 客户端的研究揭示了向俄罗斯、Firebase Analytics 和广告 SDKs 的数据泄露风险。Telega 欺骗喀山的代理服务器。Telegram X 下发现木马。

Telegram 分支中的数据泄露:Telega 和木马
Advertisement 728x90

# 安卓替代 Telegram 客户端的安全性:分析与代理风险

专家测试了八款热门安卓 Telegram 替代客户端。它们全部存在潜在安全风险,主要源于数据泄露、分析追踪以及协议修改。官方 Telegram 客户端尽量减少了追踪器,但分支版本往往添加了用于广告和元数据收集的 SDK。

测试的应用包括官方 Telegram、Telegram X、Plus Messenger、Nekogram、Graph Messenger、Telega、iMe,以及 F-Droid 客户端(Forkgram、Mercurygram)。主要问题:向俄罗斯服务器传输数据、Firebase Analytics 和广告 SDK。

向俄罗斯传输数据

三款客户端——Telega、Graph Messenger 和 iMe——向俄罗斯服务器发送数据。这会带来当地执法机构根据本地法律访问数据的风险。Telega 问题最严重:该应用秘密地将 Telegram 服务器替换为位于喀山的自有服务器。所有 MTProto 流量均通过俄罗斯代理路由,经 HTTPS 解密和 pcap 分析确认。

Google AdInline article slot

这种中间人攻击方式可在不通知用户的情况下拦截消息、元数据和会话。其他与俄罗斯相关的客户端:

  • Telega:MyTracker、OK.ru(VK Group);
  • iMe:ad.mail.ru(VK Group)。

Firebase Analytics 和广告 SDK

Firebase Analytics 在三款客户端中明确启用(Plus Messenger、Graph Messenger、iMe),在 Nekogram 中也未禁用。官方 Telegram 已将其禁用,但替代客户端恢复了谷歌的数据收集:应用使用情况、联系人、聊天行为。

广告 SDK 数量与风险成正比:

Google AdInline article slot
  • Graph Messenger:6 个 SDK;
  • iMe:15+ 个 SDK;
  • Plus Messenger:1 个 SDK。

这些机制会收集遥测数据并发送给第三方。官方客户端和 Telegram X 的权限要求最少,追踪记录干净。

木马化假冒应用

发现一款伪装成 Telegram X 的木马。这不是分支版本,而是功能齐全的中国产间谍软件。木马功能:

  • 窃取 Telegram 会话;
  • 自动加入频道;
  • 拦截并替换消息;
  • 账户接管。

开发者 Viacheslav Krylov 的 Telegram X 评价很高:追踪器比官方客户端少。从未验证来源安装会放大威胁。

Google AdInline article slot

主要结论

  • Telega 用俄罗斯代理替换 MTProto 服务器——流量分析确认;
  • 8 款中 4 款启用 Firebase Analytics,向谷歌发送数据;
  • iMe 和 Graph Messenger 中的广告 SDK(最多 15+ 个)增加泄露风险;
  • 伪装成 Telegram X 的木马窃取会话并接管账户;
  • 官方客户端和 Telegram X 最安全。

对开发者和用户的建议

分支开发者应发布源代码和审计报告。用户:检查权限,使用 Wireshark 或 mitmproxy 分析流量。避免从第三方来源安装 APK。对于中高级用户:使用 tcpdump 和 ssldump 监控替代客户端的网络流量,特别是 MTProto。

— Editorial Team

Advertisement 728x90

继续阅读