返回首页

Telegram:关于非官方客户端的通知

Telegram 引入关于非官方客户端的通知以增强聊天安全。分析显示 Telega 中的 MITM 风险以及替代品中的数据收集。呈现基于 TDLib 的开源 Monogram 客户端。

非官方 Telegram 客户端的风险:新通知
Advertisement 728x90

# Telegram 将在聊天中警告非官方客户端的风险

Telegram 正在推出通知功能,当你的聊天伙伴使用非官方客户端时会显示提醒。在官方 iOS 应用的代码中发现了相关字符串,该字符串会显示在用户名旁边:“[用户名] 正在使用非官方 Telegram 客户端——发送给此用户的消息可能安全性较低。”这有助于提高用户对聊天中潜在安全漏洞的意识。

通知机制及其影响

该警告正在官方 iOS 客户端中测试。它会在至少一名参与者使用第三方应用的聊天中出现。专家指出,这种方法较为平衡:不会强制屏蔽,但会通过视觉提示突出风险。目前尚不清楚该功能是否针对所有替代客户端,还是仅限于不可靠的客户端。如果普遍应用,可能会导致界面视觉杂乱。

此前,用户报告称官方客户端会重置会话,需要重新认证并阻止发送消息。原因是频繁的 IP 地址变更,通常通过 VPN 或非官方客户端引起,Telegram 会将其标记为可疑活动。

Google AdInline article slot

替代客户端的安全分析

RKS Global 的研究涵盖了八款热门 Android Telegram 客户端:

  • Telegram Official
  • Telegram X
  • Plus Messenger
  • Nekogram
  • Graph Messenger
  • Telega
  • iMe
  • F-Droid (Forkgram, Mercurygram)

主要风险:

  • Telega、Graph Messenger 和 iMe 会将数据发送至俄罗斯服务器。
  • Plus Messenger、Graph Messenger 和 iMe 包含 Firebase Analytics;Nekogram 未禁用它。官方客户端会停用 Google 数据收集。
  • 广告 SDK 会增加风险:Graph Messenger(6 个 SDK)、iMe(15+ 个 SDK)、Plus Messenger(1 个 SDK)。Telega 中有 VK 集团痕迹(MyTracker、OK.ru),iMe 中有 ad.mail.ru。
  • Telega 漏洞最大:2026 年 3 月 18 日,激活了中间人(MITM)攻击。MTProto 流量通过 Telega 的代理重定向至俄罗斯,拦截客户端与 Telegram 服务器间的所有数据。

一份匿名报告《Telega 客户端中间人攻击的技术分析》证实了服务器欺骗行为。

Google AdInline article slot

新开源客户端 Monogram

2026 年 3 月,爱好者发布了 Monogram——一款使用 Kotlin、Jetpack Compose 和 Material Design 3 构建的非官方 Android 客户端。它使用 TDLib 以兼容 Telegram 协议。采用 GPLv3 许可,项目处于活跃开发阶段:预计会有更新、重构和 bug 修复。

Monogram 注重原生 UI 和性能,避免使用广告 SDK 和外部分析工具。

要点总结

  • Telegram iOS 中的通知会标记使用非官方客户端的用户,以降低聊天风险。
  • Telega 通过俄罗斯代理实现中间人攻击,欺骗 MTProto 流量。
  • 八款 Android 客户端中有三款将数据发送至俄罗斯;多数包含 Firebase。
  • 官方客户端的会话重置与 VPN 和第三方应用有关。
  • Monogram——基于 Jetpack Compose 和 TDLib 的开源选项,无跟踪器。

开发者建议

开发或选择客户端时,检查网络流量以检测服务器欺骗。使用 Wireshark 等工具分析 MTProto。避免带有活跃 SDK(Firebase、MyTracker)的应用。对于自定义方案,像 Monogram 一样依赖 TDLib,并在 GitHub 上确保代码透明。

Google AdInline article slot

— Editorial Team

Advertisement 728x90

继续阅读