В середине марта 2026 года в открытом доступе появились исследования, указывающие на то, что популярный альтернативный клиент Telegram под названием Telega содержит изменения, позволяющие выполнить полноценную Man-in-the-Middle (MITM) атаку на пользователей. Эту функциональность разработчики Telega активировали 18 марта, что зафиксировано по сетевой активности приложения.

Инцидент вызвал широкий резонанс: аудитория бота авторизации Telega превышает 6 млн пользователей в месяц, а Telegram-канал проекта ранее имел верификацию и насчитывал более 5 млн подписчиков. Ниже — разбор обнаруженных механизмов, почему это критично, и какой вывод может сделать техническое сообщество.

---

1. Перехват трафика за счёт подмены адресов DC

Официальный клиент Telegram использует заранее определённый список дата-центров (DC) — это реальные серверы Telegram с известными IP и открытыми ключами. Telega при запуске обращается к:

https://api.telega.info/v1/dc-proxy

И получает оттуда собственный список дата-центров. Эти адреса подставляются вместо оригинальных DC Telegram, после чего приложение устанавливает соединение через инфраструктуру Telega, а не Telegram.

На первый взгляд, это может выглядеть как легитимная попытка обойти блокировки. Однако реальность отличается: редирект трафика на стороннюю инфраструктуру открывает дорогу к подмене криптографии.

Коротко: Telega заставляет клиента работать через свои серверы под видом «дата-центров» Telegram.

---

2. Встроенный дополнительный RSA-ключ

В официальном клиенте Telegram список открытых ключей жёстко определён и принадлежит реальным серверам Telegram.

В Telega обнаружен дополнительный публичный RSA-ключ, отсутствующий в оригинальном коде Telegram.

Это означает, что разработчики Telega:

• встроили свой открытый ключ в клиент;
• имеют частный ключ, парный этому открытому;
• могут инициировать шифрованные сессии, в которых они — доверенная сторона.

Таким образом, MITM становится не просто возможным, а тривиальным.

Коротко: наличие собственного криптоключа даёт Telega возможность расшифровывать весь трафик.

---

3. Полноценная MITM-цепочка: адреса + ключи

Совместив подмену дата-центров и внедрение собственного RSA-ключа, разработчики получили механизм, позволяющий:

• читать входящие и исходящие сообщения,
• просматривать историю переписки,
• подменять содержимое,
• выполнять любые операции от имени пользователя,
• управлять аккаунтом без ведома владельца.

Фактически приложение становится контролируемым прокси, которому клиент доверяет как серверу Telegram.

Коротко: Telega технически способна видеть и модифицировать всё, что делает пользователь.

---

4. Отключение PFS и игнорирование секретных чатов

В официальном Telegram действует PFS (Perfect Forward Secrecy): даже если ключи сервера будут скомпрометированы, исторические сообщения останутся закрытыми. Также существуют секретные энд-ту-энд чаты.

В Telega:

• элементы интерфейса секретных чатов могут скрываться;
• PFS отключается или управляется удалённой конфигурацией;
• настройки безопасности зависимы от ответа dc-proxy.

Иными словами, безопасность контролируется сервером Telega, а не пользователем.

Коротко: механизмы защиты Telegram в Telega либо выключены, либо управляются удалённо.

---

5. Система фильтров и скрытия контента

Исследователи обнаружили сетевые вызовы вида:

https://api.telega.info/v1/api/blacklist/filter

Эти запросы позволяют серверу Telega отправлять клиенту списки каналов, чатов и профилей, которые должны быть скрыты на стороне пользователя.

Такая система фактически даёт возможность цензурировать интерфейс приложения: скрывать новости, группы, контакты.

Коротко: Telega способна скрывать контент по команде сервера.

---

6. Юридический аспект: нарушение GPLv2

Код Telegram распространяется под GPLv2. Всякий, кто изменяет и распространяет бинарники, обязан:

• публиковать исходный код с внесёнными модификациями;
• не скрывать изменения.

Telega использует код Telegram, но не публикует изменения, что является прямым нарушением лицензии.

Коротко: проект нарушает GPLv2 и скрывает изменения, которые критичны для безопасности.

---

Итоги и выводы

Инцидент с Telega — пример того, как изменение нескольких ключевых компонентов протокола может разрушить всю модель безопасности Telegram. На практике разработчики создали полностью управляемый прокси-клиент, способный перехватывать трафик, подменять криптографию и фильтровать контент.

Главные риски:

• полный MITM на уровне аккаунта;
• отсутствие E2E-шифрования там, где пользователь ожидает его наличие;
• удалённо управляемые функции безопасности;
• возможная цензура и скрытие содержимого;
• отсутствие прозрачности и нарушение лицензии.

Для пользователей единственный вывод очевиден: альтернативные клиенты Telegram необходимо использовать только при наличии открытого исходного кода, проходящего общественный аудит

---

Ссылки:

1. OpenNet: В Telega, альтернативном клиенте Telegram, выявили возможность совершения MITM-атаки
2. Wikipedia: Perfect forward secrecy
3. RFC:PFS является опцией в протоколе IPsec (RFC 2412)
4. Хабр: Полный технический анализ MITM в клиенте Telega

Поделиться ссылкой: