Куда катится Telega Пару дней назад в сети появился документ о том, что 18 марта создатели клиента Telega активировали скрытую функцию. Их приложение начало подменять IP-адреса серверов Telegram на свои собственные, пропуская весь трафик через себя. Чтобы это сработало, они добавили в код свой RSA-ключ, которого нет в официальном клиенте. В итоге сервер Telega успешно принимает рукопожатие, а настоящий сервер Telegram – нет. Это классическая MITM-атака, то есть разработчики могут не только читать все ваши сообщения, но и модифицировать их или блокировать неугодные каналы под видом «нарушения правил платформы». Вдобавок Telega отключает Perfect Forward Secrecy (PFS - защиту, которая не дает расшифровать старые переписки даже при компрометации ключа) и по умолчанию скрывает секретные чаты с end-to-end шифрованием. Так, пользователь просто не узнает, что ему кто-то пытается написать в таком чате. Все это управляется удаленно через собственный API приложения. Но самое интересное обнаружилось на тестовых поддоменах, к которым ненадолго открыли публичный доступ. Там нашли две панели модерации. Первый – это Zeus – тикет-система для обработки запросов РКН на блокировку каналов, ботов и пользователей, причем в тестовых данных фигурировал email stream@rkn[.]gov[.]ru. Второй – Cerberus — публичный телеграммовский мини-апп для модерации сообщений в реальном времени с ИИ-анализом, автобаном и автоудалением по порогам токсичности и спама. Понятно, что сегодня мало кто верит в это приложение, как в обычный форк Telegram, однако за детальный разбор отдельное спасибо. Ждем очередного изворотливого ответа от Teleg’и. @antiinfosec