По данным источника: «Код Дурова», с 18 марта клиент Telega начал обращаться к api.telega.info за конфигурацией dc-proxy, в которой содержится перечень IP-адресов. Затем эти адреса подставляются вместо серверов дата-центров Telegram. Одновременно в криптографическую библиотеку приложения, как утверждается в разборе, был добавлен дополнительный RSA-ключ, отсутствующий в оригинальном клиенте Telegram.

Авторы исследования считают, что такая схема позволяет Telega принимать новое «рукопожатие сессии» уже на своей стороне, а затем проводить весь поток данных между пользователем и Telegram через собственную инфраструктуру.

Под «рукопожатием сессии» понимается автоматический обмен сообщениями между клиентом и сервером, который нужен для установления соединения до начала передачи данных.

Чтобы запустить подобный сценарий массово, одной правки конфигурации, по словам исследователей, было бы недостаточно: требовалось заново создавать сессию. Именно поэтому в клиенте, как утверждают авторы разбора, предусмотрен механизм soft logout. Он очищает настройки аккаунта, удаляет ключ сессии и обрывает соединение.

Запускаться этот механизм может разными путями. Один из них, по версии исследователей, — промо-баннер с предложением «перезайти в приложение, чтобы ускорить соединение». Такой подход, как они считают, мог быть рассчитан не только на новых пользователей, но и на уже существующую аудиторию.

Отдельно в расследовании говорится, что в Telega отключена Perfect Forward Secrecy — механизм защиты, который помогает снизить последствия компрометации ключа. Кроме того, входящие запросы на секретные чаты, по словам авторов разбора, могут просто игнорироваться.

На поддоменах telega.info исследователи также нашли тестовые панели Zeus и Cerberus. Zeus, как утверждается, используется как тикет-система для обработки запросов на блокировку контента, включая упоминания адреса stream@rkn.gov.ru. Cerberus, по их описанию, представляет собой интерфейс для модерации сообщений в реальном времени с ИИ-классификацией и быстрым применением санкций к пользователям.

Если включить соответствующую настройку, клиент, по данным разбора, отправляет запросы к api.telega.info/v1/api/blacklist/filter. После этого приложение может блокировать открытие каналов, чатов, ботов, профилей и историй, создавая впечатление, что ограничение исходит от самой платформы.

Ещё один важный момент связан с секретными чатами. Исследователи пишут, что Telega получает remote config через Firebase, где флаг enable_sc сейчас установлен в false.

Проще говоря, кнопка запуска секретного чата в клиенте скрыта, а входящие запросы на такой чат могут не приниматься без отдельного уведомления пользователя. Если это действительно так, речь идёт не только о перехвате обычной переписки, но и о намеренном отключении сценариев защищённого end-to-end-общения, которое в Telegram существует отдельно от облачных чатов.

Авторы разбора допускают, что речь могла идти лишь о прототипах. Но сама обнаруженная архитектура, по их мнению, показывает системный подход разработчиков Telega к модерации и ограничению пользовательского контента.

Если выводы анализа верны, владельцы такой инфраструктуры теоретически получают доступ не только к переписке и истории сообщений в Telegram, но и к возможности подменять контент и совершать действия от имени аккаунта.