В интернете появился полный теханализ MITM-атаки в клиенте Telega от неизвестного источника
В сети 20 марта 2026 года появилась анонимная статья «Технический анализ MITM‑атаки в клиенте Telega». По словам авторов статьи, это полный разбор последней версии клиента Telega для Android. В статье утверждается, что 18 марта создатели приложения Telega активировали скрытую функциональность. Она позволяет перехватывать все данные между приложением и сервером Telegram. Данные проходят через серверы самой Telega.
Когда клиент Telegram устанавливает подключение к дата‑центру, он генерирует случайные параметры шифрования. Затем передаёт их в зашифрованном виде с помощью алгоритма RSA. В клиент вшит публичный ключ. Клиент шифрует данные этим ключом. Сервер расшифровывает их с помощью соответствующего приватного ключа.
Исследователи из статьи разобрали последнюю версию клиента Telega для Android и распаковали её через jadx. В коде обнаружен интерфейс DCRestService. Приложение совершает HTTP GET запрос по ссылке api.telega.info/v1/dc-proxy. Ссылка возвращает JSON‑объект с параметром dc_version со значением 2. Также возвращается массив dcs с идентификаторами дата‑центров и адресами.
Как утверждается в статье, все IP‑адреса находятся в диапазоне 130.49.152.0/24. Они принадлежат AS203502 JOINT STOCK COMPANY TELEGA. Автономная система была зарегистрирована 24 ноября 2025 года. Единственный апстрим данной автономной системы — AS47764 LLC VK. Это косвенно указывает на то, что Telega является дочерним проектом VK. Приложение получает IP‑адреса контролируемых Telega серверов. Эти адреса должны заменить адреса настоящих серверов Telegram.
По словам авторов материала, они открыли библиотеку в IDA Pro и нашли список текстовых строк. Поиск по заголовку BEGIN RSA PUBLIC KEY выявил четыре ключа. В оригинальной библиотеке от Telegram есть
Читать на habr.com