CLUBORG
Наковырял инфо по сабжу в сетке.
"Разрабатывает приложение компания под названием АО «Телега» (ранее она называлась АО «Даль»). Также в устав АО «Телега» внесли пункт об ограничении полномочий совета директоров этой компании при заключении сделок с МКПАО «ВК». В корпорации отрицают любые связи с приложением."
"Конечные бенефициары АО «Телега» не раскрываются."
Суть:
Они взяли официальный клиент Telegram (GPL v2), поменяли пару сотен строчек, и говорят что весь код теперь принадлежит им.
Звонки идут через Одноклассники (public... CALLS_BASE_URL.. calls.okcdn.ru...), следует из установочного APK на Андроид.
Проблема №1: В коде нет проверки подписи ответа.
Проблема №2: Нет проверки сертификата.
В ресурсах APK и найден файл: resources/res/raw/rootca_ssl_rsa2022.cer
Таким образом, в приложение вшит сертификат Russian Trusted Root CA. В сочетании с отсутствием проверки сертификатов и отсутствием Certificate Pinning (который они вырезали из оригинального клиента Telegram), это позволяет реализовать полноценную MitM-атаку.
Ваш трафик может быть расшифрован на лету владельцем приватного ключа этого сертификата.
Ну и слив данных, т.к. это приложение отправляет на сервера telega.info:
- phone (Номер телефона)
- ip (IP-адрес)
- deviceModel
- systemVersion
- authKeyId (ID ключа авторизации Telegram! Wtf? )
