Cloudflare внесла связанный с VK клиент Telega в список шпионского ПО

Глобальная платформа защиты сетей Cloudflare объявила адреса неофициального клиента мессенджера Telegram «Телега» (Telega), находящиеся в России, связанными со шпионским ПО. Об этом пишет проект «Код Дурова»

О «подозрительности» проекта было известно давно, ещё до начала масштабных блокировок. В октябре прошлого года СМИ выяснили, что разработчик приложения Фанис Садыков получал зарплату в VK Group до июля 2025 года. После начала «замедления» россияне начали массово скачивать клиент в попытке обойти блокировки. Специалисты по кибербезопасности начали предупреждать о рисках, связанных с приложением.

Против клиента выступили и эксперты RKS Global, которые называет себя «командой экспертов в области свободы интернета: журналисты, юристы и технические специалисты»; список членов неизвестен. В марте там опубликовали статью на тему безопасности «Телеги». Из сообщений следовало, что приложение «тайно подменяет серверы Telegram на свои собственные, расположенные в Казани», заменяя стандартные DC Telegram на 25 IP-адресов в Казани, которые зарегистрированы на российское АО «ТЕЛЕГА». Из этого, как сообщалось, следовало, что вся переписка пользователя, который установил клиент Telega, и все его взаимодействия с другими пользователями «физически оказываются в России, где по закону должны быть предоставлены властям по запросу». Более того, выяснилось, что клиент передаёт на сервера в VK Group номер телефона, ID в Telegram и «даже то, использует ли пользователь VPN».

Позже тот же проект дал ссылку на другой анонимный «полный технический анализ MITM в клиенте Telega». MITM («человек посередине») — это вид атаки, при которой хакер перехватывает канал связи между двумя сторонами. Это позволяет не только «прослушивать» трафик, но и в некоторых случаях подменять сообщения. Даже если содержимое надёжно зашифровано, злоумышленник может собрать ценные метаданные: откуда пользователь выходит в сеть, с кем и когда он общается, а также размер передаваемых файлов. При наличии достаточных мощностей для анализа этого трафика можно составить детальный цифровой портрет жертвы. В теории, вкупе с данными силовиков из государственных баз у российских властей появится полная карта того, кто кому передаёт данные.

Из анализа анонимной группы следовало, что «Телега» представляет собой MITM-проект для сбора данных о пользователях Телеграма. Как объяснили авторы анализа, разработчики смогли «договориться с клиентом об одном ключе шифрования, а с настоящим сервером Telegram о другом ключе шифрования, и, будучи посередине между клиентом и сервером, просматривать, сохранять и модифицировать весь трафик». В документах также подробно подтверждалось, как данные отправляются на связанные с MailRu адреса и что в приложение встроена возможность отключать «секретные чаты» с наиболее мощным шифрованием таким образом, чтобы пользователи даже не знали о том, что им пытаются написать.

Несколько часов назад Apple удалила приложение Telega из AppStore. Как объяснили в «Коде Дурова», крупнейший хостинг-провайдер в мире пометил домены проекта telega-me и api-telega-info как связанные с «шпионским ПО».  Международный удостоверяющий центр GlobalSign отозвал TLS-сертификат для защищённого соединения по HTTPS.

«Если бы причина основания для удаления из App Store была в сертификате, то после блокировки приложения App Transport Security (ATS) разработчики Telega могли бы быстро выпустить другой сертификат, и приложение вновь стало доступным. Речь не про нерабочий сертификат, а именно про его отзыв. Видимо Cloudflare пометил их домен как шпионский, из-за это GlobalSign отозвал сертификат, а Apple удалила приложение», — заявил анонимный эксперт проекту.