Исследователи обнаружили механизм MITM-атаки в популярном клиенте Telegram — Telega

18 марта 2026 года разработчики приложения Telega, стороннего клиента Telegram, активировали скрытую функцию, позволяющую пропускать весь трафик между приложением и серверами Telegram через собственные серверы, говорится в техническом анализе, опубликованном на сайте dontusetelega.lol.

Как следует из исследования, механизм работает в два этапа. Сначала приложение обращается к серверу api.telega.info и получает список IP-адресов, которые подменяют настоящие адреса дата-центров Telegram. Все подставные адреса принадлежат автономной системе AS203502, зарегистрированной на АО «Телега» в ноябре 2025 года. По данным исследователей, единственный вышестоящий провайдер этой автономной системы - AS47764 LLC VK (Mail.ru), что, по мнению авторов анализа, косвенно указывает на связь Telega с VK.

Вторая часть механизма - подмена ключа шифрования. Авторы анализа декомпилировали нативную библиотеку приложения и обнаружили в ней четыре публичных RSA-ключа, тогда как в официальном клиенте Telegram зашиты только три. Дополнительный ключ принимается серверами Telega, но отвергается серверами Telegram. По данным исследования, подмена адресов и ключа позволяет провести классическую атаку «человек посередине» (MITM): серверы Telega договариваются об одном ключе шифрования с клиентом, о другом - с настоящим сервером Telegram, и в промежутке получают доступ ко всему трафику в открытом виде.

Исследователи также описали механизм принудительного выхода из аккаунта. По команде с сервера Telega - через скрытое push-уведомление, ссылку или промо-баннер - приложение удаляет ключ шифрования текущей сессии и инициирует повторную авторизацию. Это необходимо для запуска нового рукопожатия уже через подставные серверы. Баннер, как следует из кода, предлагает пользователю «перезайти в приложение, чтобы ускорить соединение».

Кроме того, в Telega по умолчанию отключен механизм Perfect Forward Secrecy (PFS), который в официальных клиентах Telegram всегда активен, указывают авторы анализа. PFS обеспечивает периодическую смену ключей шифрования, что не позволяет расшифровать старые переписки в случае компрометации текущего ключа. В Telega состояние этого флага контролируется сервером через тот же эндпоинт, и по умолчанию PFS выключен.

Секретные чаты с оконечным шифрованием также отключены по умолчанию. Согласно исследованию, приложение получает через Firebase Remote Config флаг enable_sc со значением false. В результате входящие запросы на создание секретных чатов игнорируются, а кнопка их создания скрыта. Пользователь не получает уведомления о попытках связаться с ним через секретный чат.

Помимо MITM-механизма, в приложении обнаружена система «черных списков». По запросу к серверу Telega приложение проверяет, не входит ли определенный канал, пользователь, чат или бот в список заблокированных. Если входит, контент скрывается за заглушкой с текстом: «Этот [чат/канал/бот] недоступен в связи с нарушениями правил платформы». По мнению исследователей, формулировка создает впечатление, что блокировка исходит от Telegram, а не от Telega.

UPD: Telega использует официальный Telegram API и протокол MTProto, заявили в компании. В сервисе подтвердили использование собственной прокси-инфраструктуры для стабильной работы приложения при нестабильном соединении и пояснили, что она не дает доступа к содержимому сообщений, а дополнительные RSA-ключи нужны для защиты прокси от стороннего использования и перегрузки.

Пересоздание сессий и повторную авторизацию в компании связали с техническими условиями и особенностями сети, а параметр Perfect Forward Secrecy, упомянутый в исследовании, назвали механизмом ротации ключей, а не отключением шифрования. Также в Telega заявили, что модерация касается только комментариев в официальном канале проекта и не затрагивает личные переписки, пользовательские чаты и каналы.