Телега: анализ безопасности и приватности

В данной работе представлен анализ Телеги — стороннего клиента Telegram, построенного на открытом исходном коде мессенджера. Рассматриваются архитектура приложения, модель безопасности, практики обработки данных и последствия для приватности конечных пользователей.

Данный текст является упрощённым пересказом основной статьи, подготовленным с помощью ИИ. Он не заменяет оригинал, а лишь помогает быстрее понять суть. Для точных деталей и доказательств смотрите полную техническую версию.

Полный технический анализ

🇬🇧 Full technical analysis in English

Утром 18 марта создатели приложения Телега включили скрытую функцию, которая позволяет им читать всю вашу переписку в Telegram. В этой статье разбираем, как именно это работает.

Как устроена связь в Telegram

Когда вы пользуетесь Telegram, ваш телефон подключается к серверам мессенджера. Чтобы никто не мог подслушать вашу переписку, приложение и сервер договариваются о секретном «ключе» — наборе данных, с помощью которого все сообщения шифруются. Без этого ключа прочитать переписку невозможно.

Адреса серверов Telegram и ключи шифрования «вшиты» прямо в приложение — их нельзя подменить извне.

Что делает Телега: подмена серверов

Анализ кода приложения Телега показал, что при запуске оно обращается к собственному серверу разработчиков (api.telega.info) и получает оттуда другие адреса серверов — не настоящие серверы Telegram, а серверы, принадлежащие Телеге.

Эти адреса находятся в сети, зарегистрированной на АО "ТЕЛЕГА" и технически связанной с VK (Mail.ru).

Проще говоря: вместо того чтобы подключить вас к настоящему Telegram, приложение тайно перенаправляет вас на сервера Телеги.

Что делает Телега: подмена ключа шифрования

Одной подмены серверов недостаточно — нужно ещё подменить ключ шифрования. Анализ показал, что в Телегу встроен дополнительный ключ, которого нет в оригинальном Telegram.

Этот ключ не принимается настоящими серверами Telegram, но принимается серверами Телеги. Это было проверено экспериментально.

ВАЖНО — это не MTProto Proxy

Этот подход кардинально отличается от обычных MTProto Proxy, доступных в официальном клиенте — они работают с данными, уже зашифрованными настоящим ключом Telegram. “DC Proxy” создает отдельный канал шифрования с сервером Telega, которому доступен весь трафик MTProto в открытом виде.

До 18 марта в Telega для обхода блокировок применялись MTProto Proxy и их можно было безопасно использовать.

Что это значит: полный перехват данных

Когда и сервер, и ключ шифрования подменены, Телега оказывается посередине между вами и Telegram. Это классическая атака «человек посередине» (MITM).

Телега договаривается с вашим телефоном об одном ключе, а с настоящим Telegram — о другом. В результате Телега может:

  • Читать все сообщения — входящие и исходящие, в любом чате
  • Просматривать всю историю переписки
  • Подменять содержимое сообщений — например, блокировать каналы якобы за «нарушение правил Telegram»
  • Хранить все ваши данные и передавать их кому угодно, включая силовые структуры
  • Делать что угодно с вашим аккаунтом без вашего ведома

Чтобы это заработало, Телега может в любой момент принудительно разлогинить вас — через скрытое push-уведомление или специальную ссылку. После повторного входа соединение устанавливается уже через серверы Телеги. Пользователю при этом показывается безобидное сообщение о «переходе на выделенные серверы для ускорения соединения».

Отключение дополнительной защиты

В обычных (облачных) чатах Telegram связь между приложением и сервером защищена ключом шифрования. Но если этот ключ когда-нибудь утечёт, злоумышленник сможет расшифровать всю переписку — и прошлую, и будущую.

Чтобы этого не произошло, в Telegram есть механизм Perfect Forward Secrecy: приложение и сервер регулярно (примерно раз в сутки) договариваются о временном ключе и шифруют трафик именно им, а не постоянным. Даже если один временный ключ утечёт — прочитать можно будет только переписку за этот короткий период, а не за всё время.

В официальном Telegram эта защита всегда включена и её нельзя отключить. В Телеге она выключена по умолчанию — используется только постоянный ключ. Включить или выключить PFS может сервер Телеги по своему усмотрению.

Отключение секретных чатов

Секретные чаты — это чаты с шифрованием «от устройства к устройству», где даже сервер Telegram не может прочитать сообщения.

В Телеге секретные чаты полностью отключены. Если кто-то попытается написать вам в секретный чат, вы просто не получите сообщение — и даже не узнаете об этом.

Это управляется удалённо через настройку с сервера Телеги.

Система «модерации»

Помимо перехвата данных, в Телеге встроена система чёрных списков. Разработчики могут удалённо заблокировать любой канал, чат или пользователя для всех пользователей Телеги.

При этом пользователю показывается сообщение:

Материалы недоступны. Этот канал недоступен в связи с нарушениями правил платформы.

Это создаёт впечатление, что блокировка исходит от Telegram, хотя на самом деле она наложена разработчиками Телеги.

Панели модерации Телеги

В тот же день, когда был включён перехват данных, в интернете были обнаружены тестовые версии внутренних панелей управления Телеги. Доступ к ним быстро закрыли, но кое-что удалось сохранить.

Были найдены две панели:

Zeus — система обработки запросов на блокировку контента. Работает как тикет-система: приходит обращение, модератор его обрабатывает и может заблокировать канал, группу, бота или пользователя прямо из панели. В тестовых данных в качестве отправителя обращений указан адрес stream@rkn.gov.ru с пометкой «РКН» — то есть система спроектирована для обработки запросов от Роскомнадзора.

При блокировке модератор выбирает срок (от 1 часа до «навсегда») и пользователю показывается сообщение вроде:

Этот канал недоступен в связи с ограничением доступа. Основание: РКН решение №… от …

Это та же плашка, которую видят пользователи Телеги при срабатывании системы чёрных списков, описанной выше.

Cerberus — приложение для модерации сообщений в реальном времени, работающее как Telegram Mini App. В отличие от Zeus, здесь модератор видит поток сообщений пользователей и может удалять сообщения, банить пользователей или эскалировать на старшего модератора. Встроен ИИ-анализатор, который автоматически определяет тип нарушения и предлагает действие. Есть настройки автоматической модерации: пороги токсичности и спама, автоудаление сообщений и автоматический бан после определённого числа нарушений.

Мы не уверены, что эти панели используются в продакшене — возможно, это прототипы. Но сам факт их существования показывает, что инфраструктура для цензуры и модерации контента пользователей Телеги разрабатывается целенаправленно.

Не пользуйтесь клиентом Телега

Телега — это не безобидный «ускоренный клиент». Это программа, которая:

  • Перенаправляет ваш трафик через свои серверы
  • Может читать и сохранять всю вашу переписку
  • Отключает механизмы защиты Telegram
  • Блокирует контент по своему усмотрению

Один пользователь Телеги лишает приватности не только себя, но и всех своих собеседников — они даже не знают об этом.

Если вы или ваши знакомые пользуются Телегой — удалите приложение и завершите сессию в настройках аккаунта Telegram. Пользуйтесь только официальным клиентом.

Обновления

Все обновления, если таковые будут, публикуются в Telegram-канале.

Правовое основание

Все выводы настоящего исследования получены методом пассивной разведки из открытых источников (OSINT):

  • Censys
  • Журналы прозрачности сертификатов (Certificate Transparency logs)
  • Публичные DNS-записи
  • HTTP-заголовки и файлы, свободно предоставляемые веб-сервером объекта исследования
  • Перехват HTTP-трафика собственного устройства (MITM-прокси на локальном устройстве исследователя)
  • Обратная разработка (reverse engineering) публично распространяемых клиентских бинарных файлов

Ни одна информационная система не подвергалась взлому, тестированию на проникновение или иному активному воздействию. Учётные данные третьих лиц не использовались. Целостность и доступность данных не нарушались.

Неправомерный доступ к компьютерной информации

Получение общедоступных файлов, передаваемых веб-сервером без аутентификации и без преодоления каких-либо технических средств защиты, не образует состава преступления по ст. 272 УК РФ (ред. от 20.02.2026).

Диспозиция статьи требует совокупности двух элементов:

  1. Неправомерный доступ к охраняемой законом компьютерной информации
  2. Наступление последствий в виде уничтожения, блокирования, модификации либо копирования такой информации

Ни одно из этих условий не выполнено: исследуемая информация не защищена техническими средствами и передаётся сервером любому обратившемуся клиенту, а её целостность не была затронута.

Исследование также не затрагивает компьютерную информацию, содержащую персональные данные, в связи с чем ст. 272.1 УК РФ (введена ФЗ от 30.11.2024 №421-ФЗ) неприменима.

Перехват трафика

Перехват HTTP-трафика осуществлялся исключительно на собственном устройстве исследователя с использованием локального MITM-прокси. Анализировался только трафик между установленным приложением и внешними серверами — без доступа к чужим каналам связи. Данная методика не образует состава преступления по ст. 138.1 УК РФ (незаконный оборот специальных технических средств для негласного получения информации), поскольку инструменты анализа трафика (mitmproxy, Charles, Fiddler) являются общедоступным программным обеспечением, а перехват производился на собственном устройстве и в собственной сети исследователя.

Обратная разработка

Обратная разработка клиентских бинарных файлов проводилась в отношении публично распространяемых сборок приложения, доступных для скачивания без ограничений. Исследование осуществлялось исключительно в целях анализа безопасности и совместимости, что допускается ст. 1280 ГК РФ (ч. 3): «Лицо, правомерно владеющее экземпляром программы для ЭВМ, вправе без согласия правообладателя изучать, исследовать или испытывать функционирование такой программы в целях определения идей и принципов, лежащих в основе любого элемента программы». Декомпиляция также допускается в целях достижения способности к взаимодействию с другими программами (ст. 1280 ГК РФ, ч. 4).

Общедоступность информации

Используемые данные являются общедоступной информацией по смыслу ст. 7 ФЗ от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации» (ред. от 29.12.2025):

  • «К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен» (ч. 1)
  • «Общедоступная информация может использоваться любыми лицами по их усмотрению» (ч. 2)

Конституционные и законодательные гарантии

Настоящее исследование представляет собой реализацию конституционного права на информацию:

  • Конституция РФ, ст. 29, ч. 4 — каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом
  • Конституция РФ, ст. 29, ч. 5 — гарантируется свобода массовой информации; цензура запрещается
  • ФЗ-149, ст. 3 — принцип свободы поиска, получения, передачи, производства и распространения информации любым законным способом

В той мере, в которой исследование представляет собой журналистскую деятельность, оно дополнительно защищено:

  • Закон РФ «О СМИ» №2124-1 (ред. от 31.07.2025), ст. 1 — свобода массовой информации, ст. 3 — недопустимость цензуры, ст. 47 — право искать, запрашивать, получать и распространять информацию

Конфликт интересов

Авторы не аффилированы ни с каким государственным органом, спецслужбой или конкурентом упомянутых в исследовании субъектов. Финансовая заинтересованность отсутствует. Вознаграждение не получалось. Исследование проведено исключительно в общественных интересах.

По вопросам DMCA: dmca@dontusetelega.lol