Исследователи обнаружили механизм MITM-атаки в популярном клиенте Telegram — Telega
NewsMakerПочему не стоит доверять «безопасным» форкам Telegram.
18 марта 2026 года разработчики приложения Telega, стороннего клиента Telegram, активировали скрытую функцию, позволяющую пропускать весь трафик между приложением и серверами Telegram через собственные серверы, говорится в техническом анализе, опубликованном на сайте dontusetelega.lol.
Как следует из исследования, механизм работает в два этапа. Сначала приложение обращается к серверу api.telega.info и получает список IP-адресов, которые подменяют настоящие адреса дата-центров Telegram. Все подставные адреса принадлежат автономной системе AS203502, зарегистрированной на АО «Телега» в ноябре 2025 года. По данным исследователей, единственный вышестоящий провайдер этой автономной системы - AS47764 LLC VK (Mail.ru), что, по мнению авторов анализа, косвенно указывает на связь Telega с VK.
Вторая часть механизма - подмена ключа шифрования. Авторы анализа декомпилировали нативную библиотеку приложения и обнаружили в ней четыре публичных RSA-ключа, тогда как в официальном клиенте Telegram зашиты только три. Дополнительный ключ принимается серверами Telega, но отвергается серверами Telegram. По данным исследования, подмена адресов и ключа позволяет провести классическую атаку «человек посередине» (MITM): серверы Telega договариваются об одном ключе шифрования с клиентом, о другом - с настоящим сервером Telegram, и в промежутке получают доступ ко всему трафику в открытом виде.
Исследователи также описали механизм принудительного выхода из аккаунта. По команде с сервера Telega - через скрытое push-уведомление, ссылку или промо-баннер - приложение удаляет ключ шифрования текущей сессии и инициирует повторную авторизацию. Это необходимо для запуска нового рукопожатия уже через подставные серверы. Баннер, как следует из кода, предлагает пользователю «перезайти в приложение, чтобы ускорить соединение».
18 марта 2026 года разработчики приложения Telega, стороннего клиента Telegram, активировали скрытую функцию, позволяющую пропускать весь трафик между приложением и серверами Telegram через собственные серверы, говорится в техническом анализе, опубликованном на сайте dontusetelega.lol.
Как следует из исследования, механизм работает в два этапа. Сначала приложение обращается к серверу api.telega.info и получает список IP-адресов, которые подменяют настоящие адреса дата-центров Telegram. Все подставные адреса принадлежат автономной системе AS203502, зарегистрированной на АО «Телега» в ноябре 2025 года. По данным исследователей, единственный вышестоящий провайдер этой автономной системы - AS47764 LLC VK (Mail.ru), что, по мнению авторов анализа, косвенно указывает на связь Telega с VK.
Вторая часть механизма - подмена ключа шифрования. Авторы анализа декомпилировали нативную библиотеку приложения и обнаружили в ней четыре публичных RSA-ключа, тогда как в официальном клиенте Telegram зашиты только три. Дополнительный ключ принимается серверами Telega, но отвергается серверами Telegram. По данным исследования, подмена адресов и ключа позволяет провести классическую атаку «человек посередине» (MITM): серверы Telega договариваются об одном ключе шифрования с клиентом, о другом - с настоящим сервером Telegram, и в промежутке получают доступ ко всему трафику в открытом виде.
Исследователи также описали механизм принудительного выхода из аккаунта. По команде с сервера Telega - через скрытое push-уведомление, ссылку или промо-баннер - приложение удаляет ключ шифрования текущей сессии и инициирует повторную авторизацию. Это необходимо для запуска нового рукопожатия уже через подставные серверы. Баннер, как следует из кода, предлагает пользователю «перезайти в приложение, чтобы ускорить соединение».