Исследователи обнаружили механизм MITM-атаки в популярном клиенте Telegram — Telega

18 марта 2026 года разработчики приложения Telega, стороннего клиента Telegram, активировали скрытую функцию, позволяющую пропускать весь трафик между приложением и серверами Telegram через собственные серверы, говорится в техническом анализе, опубликованном на сайте dontusetelega.lol.

Как следует из исследования, механизм работает в два этапа. Сначала приложение обращается к серверу api.telega.info и получает список IP-адресов, которые подменяют настоящие адреса дата-центров Telegram. Все подставные адреса принадлежат автономной системе AS203502, зарегистрированной на АО «Телега» в ноябре 2025 года. По данным исследователей, единственный вышестоящий провайдер этой автономной системы - AS47764 LLC VK (Mail.ru), что, по мнению авторов анализа, косвенно указывает на связь Telega с VK.

Вторая часть механизма - подмена ключа шифрования. Авторы анализа декомпилировали нативную библиотеку приложения и обнаружили в ней четыре публичных RSA-ключа, тогда как в официальном клиенте Telegram зашиты только три. Дополнительный ключ принимается серверами Telega, но отвергается серверами Telegram. По данным исследования, подмена адресов и ключа позволяет провести классическую атаку «человек посередине» (MITM): серверы Telega договариваются об одном ключе шифрования с клиентом, о другом - с настоящим сервером Telegram, и в промежутке получают доступ ко всему трафику в открытом виде.

Исследователи также описали механизм принудительного выхода из аккаунта. По команде с сервера Telega - через скрытое push-уведомление, ссылку или промо-баннер - приложение удаляет ключ шифрования текущей сессии и инициирует повторную авторизацию. Это необходимо для запуска нового рукопожатия уже через подставные серверы. Баннер, как следует из кода, предлагает пользователю «перезайти в приложение, чтобы ускорить соединение».

Кроме того, в Telega по умолчанию отключен механизм Perfect Forward Secrecy (PFS), который в официальных клиентах Telegram всегда активен, указывают авторы анализа. PFS обеспечивает периодическую смену ключей шифрования, что не позволяет расшифровать старые переписки в случае компрометации текущего ключа. В Telega состояние этого флага контролируется сервером через тот же эндпоинт, и по умолчанию PFS выключен.

Секретные чаты с оконечным шифрованием также отключены по умолчанию. Согласно исследованию, приложение получает через Firebase Remote Config флаг enable_sc со значением false. В результате входящие запросы на создание секретных чатов игнорируются, а кнопка их создания скрыта. Пользователь не получает уведомления о попытках связаться с ним через секретный чат.

Помимо MITM-механизма, в приложении обнаружена система «черных списков». По запросу к серверу Telega приложение проверяет, не входит ли определенный канал, пользователь, чат или бот в список заблокированных. Если входит, контент скрывается за заглушкой с текстом: «Этот [чат/канал/бот] недоступен в связи с нарушениями правил платформы». По мнению исследователей, формулировка создает впечатление, что блокировка исходит от Telegram, а не от Telega.

В день активации MITM-функции пользователи также обнаружили демо-стенды двух внутренних панелей модерации на поддоменах telega.info. Первая панель Zeus представляла собой тикет-систему для обработки обращений на блокировку контента. В тестовых данных панели в качестве источника обращений фигурировал адрес stream@rkn.gov.ru и пометка «РКН». Вторая панель Cerberus предназначалась для оперативной модерации сообщений в реальном времени с ИИ-классификацией нарушений и возможностью автоматического удаления и блокировки. Авторы анализа оговариваются, что не уверены в использовании этих инструментов в рабочей среде, так как их качество «оставляет сомнения» и стенды могут быть прототипами.

Telega позиционирует себя как безопасный клиент на базе открытого кода Telegram, обеспечивающий стабильную связь без VPN. На странице приложения в Google Play указано, что «все сообщения и данные шифруются и обрабатываются на стороне Telegram» и что разработчики «не имеют доступа к содержимому чатов и звонков». Число установок приложения в Google Play превышает 1 млн.