# Telegram 为使用非官方 Android 客户端的用户引入标签
Telegram 为使用非官方客户端的账户引入了一个标识。在用户名旁边会出现警告:“此用户正在使用非官方 Telegram 客户端,这可能会降低聊天安全性。” 这适用于第三方应用,特别是 Android 平台,已发现严重漏洞。
此举与替代客户端风险日益增加有关。2026年3月20日,一篇匿名文章曝光了 Telega 客户端中的 MITM 攻击。分析显示,3月18日激活了一个隐藏功能:所有 MTProto 流量被重定向至开发者在俄罗斯运营的代理服务器。
替代客户端的安全分析
RKS Global 的专家测试了八款热门非官方 Telegram Android 客户端。结果证实了系统性问题:
- Telegram Official —— 无泄漏的基准参考。
- Telegram X —— Telegram 的优化版。
- Plus Messenger —— 包含 Firebase Analytics 和 1 个广告 SDK。
- Nekogram —— 未禁用 Firebase。
- Graph Messenger —— 6 个 SDK,流量指向俄罗斯,Firebase。
- Telega —— 将服务器替换为俄罗斯代理,MyTracker,OK.ru。
- iMe —— 15+ 个 SDK,流量指向俄罗斯,Firebase,ad.mail.ru。
- F-Droid (Forkgram, Mercurygram) —— 存在潜在风险的分支版。
主要威胁:
- 三款客户端(Telega、Graph Messenger、iMe)的数据通过俄罗斯服务器路由。
- Firebase Analytics 在 Plus Messenger、Graph Messenger、iMe 中活跃;Nekogram 未屏蔽它。官方客户端已停用。
- 广告 SDK 增加风险:Graph Messenger(6 个)、iMe(15+ 个)、Plus Messenger(1 个)。Telega 和 iMe 中有 VK Group 痕迹。
- Telega 漏洞最多:完整 MITM 流量拦截。
这些发现基于静态和动态 APK 分析、网络流量以及反编译。
全新开源客户端 Monogram
2026年3月,Monogram 出现在 GitHub 上——一款非官方 Android 客户端。使用 Kotlin 和 Jetpack Compose 构建,支持声明式 UI 和 Material Design 3。采用官方 TDLib 处理协议。
GPLv3 许可确保开源。作者强调它处于积极开发中:预计会有更新、重构和 bug。目标——提供原生体验,同时不牺牲安全性。
Monogram 避开了常见陷阱:无第三方分析、代理或 SDK。流量直达 Telegram 服务器。
主要结论
- Telegram 为非官方客户端添加安全警告标签。
- Telega 实现 MITM:自2026年3月18日起,所有 MTProto 流量经俄罗斯代理。
- 8 款中 3 款将数据发送至俄罗斯;多数包含 Firebase 和广告 SDK。
- Monogram —— 基于 TDLib 的开源 Kotlin/Jetpack Compose 客户端,GPLv3,正在开发中。
- 对于中高级开发者:在安装前检查 APK 中的代理、分析工具和 SDK。
— Editorial Team
暂无评论。