Category: Мессенджеры

Несколько дней назад вышло подробное разоблачение клиента «Telega». Оказывается, продукт фактического «подсвинка» VK Group (АО «Даль») перехватывает сообщения своих пользователей.

Если вы используете клиент «Telega», завершите все сессии своего аккаунта из официального приложения Telegram, после чего удалите его «с глаз долой». Это неприкрытый государственный «крот» в вашем телефоне.

Факт того, что «Telega» начала перехватывать сообщения пользователей был обнаружен авторами сайта dontusetelega.lol. С их слов, «процесс» был запущен 18 марта.

«Может, вам повезёт?» убедился в наличии этого достаточно примитивного «бэкдора» методом, отличным от описанного в источнике. Он там, что неудивительно, действительно есть.

Если кратко, то «Telega» подменяет ключ RSA в одной из критических библиотек Telegram на собственный, после чего все данные клиента проходят исключительно через сервер «прокладку» АО «Даль».

Схема общения клиента «Telega» с инфраструктурой Telegram выглядит так: клиент отправляет ваши данные на сервер АО «Даль», который представляется сервером Telegram. Для этого и нужен «ложный» ключ.

Далее, сервер расшифровывает ваши данные, сохраняет их (это и фото, и видео, вообще все), после чего отправляет их в Telegram уже с использованием «оригинального» публичного ключа.

По-сути, клиент «Telega» более не контактирует с Telegram вообще. Только «прокладка», созданная АО «Даль» «общается» с мессенджером. По «фактуре» это самая обыкновенная атака MITM (человек посередине), схожая с подменой сертификата TLS.

Для реализации этой атаки пользователям «Telega» было разослано уведомление, мол — мы сервера обновили, перезайдите в аккаунт. Не нужно говорить, что «сервера» все те же, а этот «фокус» был нужен для перехвата ключей шифрования, обмен которыми происходит при входе в аккаунт Telegram.

«Может, вам повезёт?» считает, что это совместная «операция» между квази-государственным VK и пресловутой «конторой», и вот почему:

Первое. «Telega» сразу появилась после блокировки Telegram в Дагестане и Чеченской Республике. Из-за агрессивного маркетинга и позиционирования себя как «то же самое, только работает», клиент получил широкое распространение в регионе, после чего «пошел» по России.

Не нужно читать «между строк» чтобы понять, на «кого» и для «чего» эта операция направлена. Тем не менее, в первое время «Telega» действительно была «чистой», что позволило ей получить достаточный «кредит доверия».

Второе. АО «Даль» проводит весь трафик своей «автономной системы» (AS) через инфраструктуру VK, вместо обычного провайдера. Стоит ли говорить, что при жадности «менеджерья» бывшего Mail, никто бы не дал использовать дорогостоящие мощности скромному казанскому стартапу?

Для VK это очередной способ «в черную» гасить главного конкурента, а для государства — доступ к сообщениям, который Telegram, судя по всему, стал реже давать.

Стоит отметить, что к автору «Может, вам повезёт?» ещё в середине прошлого года обращались по поводу «Телеги». Тогда несколько читателей были предупреждены обходить ее «лесом».

Если у вас есть какая-либо информация об инфраструктуре АО «Даль» или прочие данные, которые могут помочь с разоблачением клиента «Telega», свяжитесь с интернет-ресурсом «Может, вам повезёт?» по любому из контактных адресов.

Около недели назад появилась «свалка» публикаций о том, что мессенджер Max, оказывается, следит за своими пользователями. Точнее, за используемым ими VPN.

К этому «занимательному» факту мы вернемся чуть позже, ведь пресловутая «слежка», и следующий за ней «товарищ майор» является отнюдь не первой проблемой «нацмессенджера».

Можно начать с того, что Max имеет серьёзные проблемы с повреждением памяти, из-за которых попервой у автора «Может, вам повезёт?» не получалось его установить. «Вопрос» был решён отключением двух «краеугольных камней» GrapheneOS — улучшенного аллокатора памяти (hardened_malloc) и Memory Tagging Extension (MTE).

Это, в первую очередь, свидетельствует о том, что «нацмессенджер» состоит из цифрового эквивалента «влажной бумаги», но не о том разговор.

Второй пункт — картинки, отправленные через мессенджер Max, остаются доступными по прямой ссылке. Тут важно даже не то, что это наглядный пример, как VK нагло врёт про сквозное шифрование
(его в российских мессенджерах, к слову, законодательно не может быть), а про то, что это самое простое «позорище». Слишком серьёзной проблемы в этом нет, но сам факт более чем «говорящий».

Возвращаясь к новости из вступления — для отслеживания серверов VPN как таковой отдельный «модуль слежки» не нужен. Из-за принципа работы протокола интернета (IP) сервера VK и так видят ваш, в данном случае, зарубежный IP-адрес.

Не нужно никаких «замудренных» запросов к множеству серверов, чтобы определить VPN-сервер — достаточно посмотреть, к какой «автономной системе» (AS) принадлежит адрес и кто ее владелец. Весь «процесс» легко автоматизируется.

Это, тем не менее, можно обойти, установив Max в отдельный профиль Android/GrapheneOS или с помощью VPN и функции Multihop.

Оглядываясь на дискуссию о «зловредности» мессенджера MAX, стоит отметить одну очень грубую техническую ошибку, которую допускали практически все ЛОМы, говоря о «страшных вирусах» — MAX может собирать все. На самом деле, это описание одной «крайности» в устройствах Android, которую, по «незнанке», или по «заказу» обобщили на «все и вся».

Речь идёт о случае, когда мессенджер MAX был предустановлен как системное приложение. Это может сделать как и сам производитель устройства, так и «ушлый» ритейлер, который из-за «линии партии» производит умышленную атаку на цепочку поставки.
Вне зависимости от «варианта», эффект только один — это полностью ломает модель безопасности ОС.

Если приложение установлено как пользовательское, то на него действуют строгие ограничения, для «прорыва» которых требуются крайне дорогостоящие уязвимости. Системные приложения же такими ограничениями не обременены, вследствие чего могут делать все, что «вздумается». В этом контексте, действительно, MAX, как и прочее «российское» ПО может за вами «следить».

Важно заметить, что это не применимо к устройствам Apple, а также к запечатанным «серым» телефонам на базе Android. В них действует модель безопасности, описанная интернет-ресурсом «Может, вам повезёт?» ещё в октябре прошлого года.

Интернет-ресурс «Может, вам повезёт?» уже не раз говорил о провалах в модели безопасности мессенджера Telegram в формате «между делом». В частности, этим отличается серия публикаций о происходившим между мессенджером Дурова и нацмессенжером MAX медийном «апокалипсисе», который к началу 2026-го года сильно сбавил свои «обороты». Тем не менее, необходимо привести все сказанное к единому «знаменателю».

Для начала стоит определить характеристики понятия «безопасный мессенджер», с которым мы в последствии будем сравнивать Telegram. Безопасный мессенджер имеет сильное сквозное шифрование (E2EE), использующее современные алгоритмы (см. Signal Protocol), защиту метаданных на приемлемом уровне, открытый код приложений, и, что самое главное, минимальный сбор данных (см. мессенджер Signal).

Начнём с основ. Telegram использует шифрование только в процессе передачи сообщений от клиента к серверу (и то, пакеты содержат незашифрованные идентификаторы, о чем далее). Это означает, что любой, кто получит доступ к серверам Telegram, на которых эти сообщения хранятся, сможет прочитать их без каких-либо проблем.

Как и в случае со всеми мессенджерами, соблюдающими требования «Пакета Яровой», эти сообщения не только могут быть проданы техническим персоналом Дурова, но и получены путём прямого взлома сервера через уязвимость нулевого дня, от которой команда Telegram даже при сильном желании защититься не может. Существуют «секретные чаты», но в расчёт их брать нельзя, ведь доступны они только на мобильных платформах, а также уязвимы к перехвату ключей самим сервером, ввиду «хлипкого» шифрования.

Говоря о метаданных, Telegram отправляет ID пользователя на сервер незашифрованным — не только без шифрования самого значения, но и без простого HTTPS — это означает, что любое устройство, которое наблюдает за трафиком пользователя Telegram (будь то злоумышленник в публичной сети или государственный «фильтр») может точно определить пользователя, а также, в некоторой степени, его устройство.

Также, ввиду того, что простой HTTP легко подменяется и искажается, это позволяет с лёгкостью манипулировать пакетами клиента Telegram. Это моветон, который без какой-либо необходимости уменьшает как и приватность пользователей, так и устойчивость к блокировкам.

Кроме этого, Telegram хранит всю историю групповых звонков в своеобразном блокчейне — мол, для того, чтобы было нельзя тайно подключиться. Оставим эту вселенскую глупость на «совести» PR-отдела Дурова. Сам факт излишнего сбора метаданных, тем не менее, есть.

Доморощенный протокол MTProto, который используется в том числе и в «секретных чатах», не подразумевает хоть какой-то приемлемой защиты метаданных — то есть, сервер, через который проходят все секретные чаты, всегда знает, кто, кому, когда, сколько, и откуда пишет. Это критическая уязвимость для любого безопасного мессенджера, которая так и не была исправлена за более чем 10 лет существования Telegram и две версии MTProto.

Исходя из перечисленных фактов, мессенджер Telegram «пролетает» со «свистом» по всем пунктам и не может считаться безопасным.

О других особенностях существования мессенджера Дурова, выходящих за рамки «техники», можно прочитать как и в «Дополнении к хронологии подготовки к блокировке Telegram», так и в дайджесте «О том, что было, будет, или есть» за 2025-й год.

У разработчиков отечественных сервисов ещё с давних времён принято «лепить» слово «безопасность» и картинку пресловутого зелёного «замочка» на свои продукты. Ничего плохого в этом, разумеется, нет — кроме того, что на «деле» эту безопасность обеспечивать им мешает такая «мелочь», как российское законодательство.

Начнем с основ. Любые коммуникации по интернету можно считать конфиденциальными только в том случае, когда доступ к ним задерживается (важный момент — шифрование не предотвращает доступ к содержанию коммуникаций, а многократно его задерживает) современными алгоритмами шифрования, ключи к которым имеют только две стороны — получатель и отправитель.

Это «заумное» описание принципа работы сквозного шифрования (E2EE), которое используют все более-менее «приличные» мессенджеры. Только оно сейчас предоставляет приемлемую «гарантию» конфиденциальности передаваемых данных — все, что «ниже» зачастую опирается на «честные» лица своих создателей.

Российское законодательство же напрямую запрещает подобный «расклад» — если вы владеете защищённым мессенджером, вы обязаны зарегистрироваться в реестре Организаторов Распространения Информации (ОРИ) и по первому запросу предоставлять все данные о пользователях, в т. ч. ключи шифрования, доступ к которым вы не имеете.

По-сути, это запрещает использование сквозного шифрования по «назначению» — оно просто не предполагает доступа для постороннего «носа» Пакета Яровой. Именно по этому российские сервисы не могут обеспечить конфиденциальность переписки — интегральная часть этого понятия фактически запрещена законом.

Кроме этого, Пакет Яровой заставляет сервисы хранить чувствительную информацию непомерно долго (до трёх лет), что повышает вероятность её утечки многократно — но это крайне старательно игнорируется.

Отвечая на поставленный вопрос: нет, не могут. Повторяя многократно данные рекомендации — если вы нуждаетесь в конфиденциальности ваших коммуникаций, общайтесь через Signal или сделайте свой мессенджер.

Несмотря на мнимую «глупость» вопроса, существует некоторое количество «маркеров», которые чётко указывают на то, что большей части российского общества, вероятно, придётся им вскоре задаться.

Начнём с основ. Сейчас не пойдёт речи о том, безопасно ли Max использовать по «назначению» — на этот вопрос «Может, вам повезёт?» уже чётко ответил: нет. Но может ли он «подглядывать» сам по себе?

Современные iOS и «правильный» Android имеют строгую систему разрешений, для «прорыва» которой требуется цепочка дорогих уязвимостей (см. материал про шпионское ПО). Даже если Max может «сбежать» из своей «песочницы», это не означает, что он, например, сразу же сможет «слушать» микрофон. Для этого требуется «дырка» в ядре системы, что, в случае с современными Apple XNU и Linux — удовольствие далеко не дешевое.

Стоит отметить, что так «работает» только с последними версиями iOS и некоторыми «вариантами» Android, например, GrapheneOS. Если у вас «китаец», дешёвый Samsung или даже старый «айфон» — будьте уверены, Max сможет вас «слушать».