Что не так с Telega?

Первоисточник: https://t.me/bruhcollective/874

Telega — альтернативный клиент Telegram, заявляющий, что может работать в условиях российских блокировок. Однако пользоваться им нельзя, и здесь я расскажу почему.

Предыстория

Начнем с основы: когда вы пользуетесь официальным клиентом Telegram, ваше соединение с его серверами надежно защищено с помощью надежных механизмов шифрования.

Если кто-то может подсмотреть трафик между вашим устройством, и клиентом Telegram, он не сможет его расшифровать. Telegram остается безопасным даже если используемый канал связи небезопасен.

Именно поэтому использование VPN или прокси-сервисов считается безопасным — трафик хоть и идет через сторонние сервера, но расшифровать его невозможно.

Почему Telega отличается от обычных прокси?

Есть информация о том, что в данном клиенте используются измененные ключи шифрования.

Клиент не просто подключается к стороннему серверу (Telega), но и шифрует данные таким образом, чтобы этот сервер имел возможность их расшифровать.

Это классическая атака Man-in-the-Middle (MitM).

Из этого следует, что сервера Telega могут иметь доступ к:

• Вашей сессии (с которой можно совершить любые действия от вашего лица без вашего же ведома)
• Истории всех ваших переписок (личные и групповые чаты, каналы)
• Различным данным о вашем аккаунте (устройства, номер телефона, и так далее)

Доверяете ли вы все эти данные Telega?

Ситуация обостряется тем, что еще в прошлом году было высказано предположение о том, что данный проект активно сотрудничает с ВКонтакте (https://t.me/bruhcollective/811), и использует их инфраструктуру.

Что еще может делать Telega?

Помимо всего написанного выше:

• Отдельно сохранять данные о вас при входе в приложение (https://t.me/bruhcollective/817, https://t.me/bruhcollective/819)
• Блокировать определенные каналы (https://t.me/bruhcollective/822)
• Отключать PFS и секретные чаты удаленно (https://t.me/bruhcollective/877, https://t.me/bruhcollective/878)

Но, конечно, MitM-атаку, о которой написано выше, ничего не затмит.

Что делать?

Не использовать Telega. Если уже установили — завершить все сессии и удалить приложение.

Установите официальное приложение Telegram, либо безопасный альтернативный клиент.

Для обхода замедления вы можете использовать либо встроенные прокси (они доступы по ссылкам вида: https://t.me/proxy?host...), либо VPN-сервисы. Это будет значительно безопаснее — ведь они не могут вмешиваться в механизмы шифрования Telegram.

Либо... переходите в Matrix. Есть несколько домашних серверов, на которых даже звонки без VPN работают.