Telegram тестирует новую функцию безопасности: пользователи получат уведомление, если их собеседник использует стороннее приложение. Пометка будет указывать на потенциальные риски для переписки. Нововведение появилось на фоне расследования, согласно которому популярный альтернативный клиент Telega мог использоваться для перехвата трафика, блокировки контента и скрытия секретных чатов.
Telegram планирует внедрить функцию, предупреждающую о том, что собеседник использует неофициальный клиент. Пометка будет размещаться в профиле под именем пользователя и сопровождаться предупреждением о потенциальных угрозах безопасности: использование альтернативного приложения может снизить безопасность переписки. В настоящее время нововведение тестируется в закрытом режиме.
Разработка этой функции ведется на фоне громкого расследования, связанного с альтернативным клиентом Telega. Исследователи, пожелавшие остаться неизвестными, обнаружили в этом приложении схему для MITM-перехвата трафика (Man-in-the-Middle). Согласно их данным, с 18 марта Telega начала подменять адреса дата-центров Telegram на собственные серверы, добавлять в криптографическую библиотеку дополнительный RSA-ключ, а также блокировать определенный контент и скрывать возможность создания секретных чатов.
Авторы разбора утверждают, что приложение запрашивает конфигурацию со своим списком IP-адресов, что позволяет проксировать весь трафик через собственную инфраструктуру. Для активации этого сценария используется принудительный разлогин: пользователя заставляют выйти из аккаунта и войти заново, что позволяет перенаправить соединение по измененной цепочке. В клиенте также отключена система Perfect Forward Secrecy, отвечающая за безопасность на случай компрометации ключей.
Кроме того, на поддоменах telega.info исследователи обнаружили тестовые панели Zeus и Cerberus, указывающие на наличие систем для модерации контента и блокировок. Это значит, что ограничения, инициируемые разработчиками Telega, могут восприниматься пользователями как действия самой платформы Telegram.
Если выводы проведенного анализа верны, владельцы такой инфраструктуры теоретически получают широкий доступ к данным пользователей. Речь идет не только о возможности чтения переписки и истории сообщений, но и о потенциальной подмене контента, а также о выполнении действий от имени аккаунта.