На днях мне на глаза попалось громкое расследование Dmytro Tarasenko (он же iTaysonLab).
Именно он провёл декомпиляцию APK нового приложения "Telega", выявил связи с инфраструктурой VK, Catogram и сделал публичную публикацию подробностей на Telegram-канале BruhCollective.
Коллеги вскрыли множество тревожных фактов, но мне, как любителю копаться в кишках приложений, захотелось пойти дальше, подтвердить их находки и найти то, что ускользнуло от динамического анализа.
Я решил провести полный статический анализ APK, выполнив деобфускацию кода, чтобы
составить максимально полную и технически подкрепленную картину.
Что же на самом деле скрывается за обещаниями «улучшенного» Telegram?
Давайте посмотрим.
Спойлер: небезопасно, неконфиденциально, но чертовски интересно. Поехали!
Первый же взгляд на декомпилированный код вызвал легкую ухмылку.
Практически весь код приложения, за исключением стандартных библиотек, прошел через R8 — стандартный обфускатор для Android.
Это было не просто сжатие кода, а намеренное и тотальное запутывание следов, превратившее код в нечитаемую кашу из бессмысленных имен.
Разработчики явно что-то прятали. Вызов был принят.
После нескольких часов работы c утилитами для деобфускации, удалось восстановить около 92% исходных имен, и только тогда картина стала проясняться.
Главным героем оказался com.my.tracker.MyTracker — официальный «паразит» от VK.
Вся логика работы с ним была аккуратно вынесена в класс-обертку ru.dahl.messenger.utils.Tracker.java.
Заглянув внутрь, я понял масштаб трагедии. Приложение отслеживает практически всё:
API для получения списка серверов находится на https://api.telega.info/v1/auth/proxy.
Настройки прокси применяются через нативную библиотеку libtmessages.49.so и C++ функцию ConnectionsManager::setProxySettings.
Это значит, что прокси настраивается на низком уровне, в обход стандартных Android API, и весь трафик приложения заворачивается через сервера владельцев сервиса.
Ни о какой анонимности и безопасности здесь и речи быть не может.
Отдельный респект экс-разработчику Telegram Dmytro Tarasenko (iTaysonLab/vkryl) и автору denis-19 на Хабре, чьи находки мы смогли подтвердить и дополнить.
Это заготовка для механизма черного списка, позволяющего владельцам по своему усмотрению блокировать любой контент.
Однако это заявление не выдерживает критики. Исследователи указывают, что используемые эндпоинты вроде dal.mvk.com являются внутренними доменами VK, а не частью публичного облака VK Cloud. Это говорит о прямой и глубокой интеграции, а не о простом использовании публичного API.
Но самое смешное открылось в HTTP-заголовках: x-tilda-server. Весь их модный сайт — это конструктор Tilda!
Как будто на спорткар прикрутили колеса от телеги. Становится понятно, почему они не стали вкладываться в сайт — это просто красивая витрина для затягивания пользователей в приложение-пылесос.
Префикс mt_ — это фирменная метка MyTracker.
Это click ID, который используется для сквозного отслеживания пользователя по всей воронке: Рекламный клик - Переход на сайт - Установка приложения.
Это замыкает круг слежки и доказывает, что вся экосистема «Телеги» построена вокруг сбора данных.
Источник
Именно он провёл декомпиляцию APK нового приложения "Telega", выявил связи с инфраструктурой VK, Catogram и сделал публичную публикацию подробностей на Telegram-канале BruhCollective.
Коллеги вскрыли множество тревожных фактов, но мне, как любителю копаться в кишках приложений, захотелось пойти дальше, подтвердить их находки и найти то, что ускользнуло от динамического анализа.
Я решил провести полный статический анализ APK, выполнив деобфускацию кода, чтобы
составить максимально полную и технически подкрепленную картину.
Что же на самом деле скрывается за обещаниями «улучшенного» Telegram?
Давайте посмотрим.
Спойлер: небезопасно, неконфиденциально, но чертовски интересно. Поехали!
Глава 1: Инструменты наготове. Первое вскрытие
Для начала — стандартный набор любого уважающего себя реверсера:- apktool: для распаковки ресурсов и AndroidManifest.xml.
- jadx: для декомпиляции DEX-файлов в Java-код.
- strings, nm, grep и прямые руки.
Код:
apktool d Telega-1.11.3-TG-12.0.1.apk
jadx -d jadx_output Telega-1.11.3-TG-12.0.1.apkПрактически весь код приложения, за исключением стандартных библиотек, прошел через R8 — стандартный обфускатор для Android.
Это было не просто сжатие кода, а намеренное и тотальное запутывание следов, превратившее код в нечитаемую кашу из бессмысленных имен.
Разработчики явно что-то прятали. Вызов был принят.
После нескольких часов работы c утилитами для деобфускации, удалось восстановить около 92% исходных имен, и только тогда картина стала проясняться.
Глава 2: Большой Брат из VK. Здравствуй, myTracker!
Первым делом в любом приложении я ищу трекеры. Простой поиск по ключевому слову tracker дал более 10 000 совпадений.Главным героем оказался com.my.tracker.MyTracker — официальный «паразит» от VK.
Вся логика работы с ним была аккуратно вынесена в класс-обертку ru.dahl.messenger.utils.Tracker.java.
Заглянув внутрь, я понял масштаб трагедии. Приложение отслеживает практически всё:
- Полный цикл аутентификации: от ввода номера телефона (auth_phone_submit) до успешного логина (auth_success).
- Выдачу разрешений: Особый интерес вызывает auth_call_log_permission_grant. Да, они хотят знать, дали ли вы доступ к журналу звонков.
- Использование прокси: Каждое действие, связанное с прокси, отправляется на сервер.
- Привязка к личности: Чтобы аналитика не была анонимной, трекеру явно скармливают ID пользователя: MyTracker.setCustomUserId(id).
Глава 3: «Бесплатный» сыр. Разбираем прокси-мышеловку
Теперь к главному блюду. Как устроен «безопасный» прокси?API для получения списка серверов находится на https://api.telega.info/v1/auth/proxy.
Настройки прокси применяются через нативную библиотеку libtmessages.49.so и C++ функцию ConnectionsManager::setProxySettings.
Это значит, что прокси настраивается на низком уровне, в обход стандартных Android API, и весь трафик приложения заворачивается через сервера владельцев сервиса.
Ни о какой анонимности и безопасности здесь и речи быть не может.
Глава 4: Звонки через «Одноклассников» и другие «сюрпризы»
Пока мы вели наше исследование, коллеги по цеху тоже не дремали.Отдельный респект экс-разработчику Telegram Dmytro Tarasenko (iTaysonLab/vkryl) и автору denis-19 на Хабре, чьи находки мы смогли подтвердить и дополнить.
- Звонки через OK.ru: В классе ru.dahl.messenger.Extra мы нашли константу:
Это прямое доказательство, что VoIP-звонки в приложении маршрутизируются через сервера «Одноклассников» (еще один актив VK Group).Код:public static final String CALLS_BASE_URL = "https://calls.okcdn.ru/"; - Централизованная авторизация: В коде UserRepository зашито имя бота @dahl_auth_bot.
Это подтверждает, что для авторизации используется бот, который может собирать метаданные о пользователе в момент входа. - Скрытая цензура: В ресурсах приложения мы нашли строку:
"Материал недоступен в связи с нарушениями правил платформы"
Это заготовка для механизма черного списка, позволяющего владельцам по своему усмотрению блокировать любой контент.
Глава 5: Действующие лица и нестыковки
Коллеги раскопали и бэкграунд проекта. Основатели — Фанис Садыков и Александр Смирнов, ранее связанные с проектом VK Group Movika Studio. Сами они утверждают, что продали стартап VK год назад, а сейчас просто «используют публично доступные технологии VK на коммерческих условиях».Однако это заявление не выдерживает критики. Исследователи указывают, что используемые эндпоинты вроде dal.mvk.com являются внутренними доменами VK, а не частью публичного облака VK Cloud. Это говорит о прямой и глубокой интеграции, а не о простом использовании публичного API.
Глава 6: Разведка на местности и позорная «Тильда»
Ради интереса мы взглянули и на их сайт telega.me. Утилита wafw00f показала, что сайт сидит за файрволом от DDoS-GUARD.Но самое смешное открылось в HTTP-заголовках: x-tilda-server. Весь их модный сайт — это конструктор Tilda!
Как будто на спорткар прикрутили колеса от телеги. Становится понятно, почему они не стали вкладываться в сайт — это просто красивая витрина для затягивания пользователей в приложение-пылесос.
Эпилог: Вишенка на торте — mt_click_id
Финальным штрихом стал параметр ?mt_click_id=... в URL сайта разработчика. Который присваиваеться автоматически каждому.Префикс mt_ — это фирменная метка MyTracker.
Это click ID, который используется для сквозного отслеживания пользователя по всей воронке: Рекламный клик - Переход на сайт - Установка приложения.
Это замыкает круг слежки и доказывает, что вся экосистема «Телеги» построена вокруг сбора данных.
Финальный вердикт
«Telega» — это не просто очередной мессенджер. Это комбайн по сбору пользовательских данных для VK, который к тому же содержит в себе заготовки для цензуры, а его официальные заявления не выдерживают критики и опровергаются техническими фактами.- Приватность: Отсутствует как класс. Приложение собирает огромный пласт данных о ваших действиях и отправляет его в VK, привязав к вашему ID.
- Безопасность: Функция «бесплатного прокси» является централизованной и полностью контролируемой владельцами. Использование этой функции равносильно добровольной передаче всего своего трафика третьим лицам.
- Честность: Разработчики вводят пользователей в заблуждение относительно своей независимости от VK
Источник
