🧐Как «безопасный» клиент Telegram оказался классической MITM-атакой

Исследователи опубликовали технический анализ приложения Telega, стороннего клиента Telegram с более чем 1 млн установок в Google Play. По данным анализа, 18 марта разработчики активировали скрытую функцию, которая перенаправляет весь трафик между приложением и серверами Telegram через собственные серверы Telega. В сочетании с подменой ключа шифрования это позволяет провести классическую атаку «человек посередине» и получить доступ ко всему трафику в открытом виде.

Помимо перехвата трафика, в приложении по умолчанию отключены механизм Perfect Forward Secrecy и секретные чаты с оконечным шифрованием. Также обнаружена система скрытых блокировок каналов и пользователей, замаскированная под ограничения со стороны Telegram. На поддоменах Telega исследователи нашли демо-стенды панелей модерации, в тестовых данных одной из которых фигурировал адрес Роскомнадзора.

При этом на странице Telega в Google Play указано, что все сообщения шифруются и обрабатываются на стороне Telegram, а разработчики не имеют доступа к содержимому чатов и звонков.

#Telegram #кибербезопасность #Telega

SecurityLab в MAX