· 3 мин. на чтение.

Telega: почему Cloudflare признал приложение шпионским и что известно о его безопасности

Telega: почему Cloudflare признал приложение шпионским и что известно о его безопасности

Что такое Telega

Telega — форк Telegram, то есть приложение на основе открытого исходного кода мессенджера, доработанное сторонними разработчиками. После авторизации по номеру телефона клиент синхронизируется с существующим Telegram-аккаунтом пользователя: переносит переписки, контакты, каналы и подписки.

Приложение разработано казанской компанией АО «Телега» (ранее АО «Даль»). Основатели — Фанис Садыков и Александр Смирнов. В прошлом они создали платформу интерактивного видео Movika, которую в 2022 году приобрёл холдинг VK. В марте 2025 года оба покинули компанию. Позднее в 2025 году они запустили Telega.

Среди заявленных особенностей приложения — стабильная работа на территории России без VPN, улучшенное качество звонков и функция «Стена» — единая лента из всех подписанных каналов.

Хронология событий

Осень 2025. После введения ограничений на работу Telegram в России Telega начала активно набирать аудиторию. К февралю 2026 года приложение вошло в топ бесплатных социальных приложений российского App Store. Число загрузок превысило 500 тысяч.

Октябрь 2025. Независимый разработчик Дмитрий Тарасенко декомпилировал APK-файл Telega и обнаружил в коде приложения компоненты инфраструктуры VK: SDK VK Звонков, аналитический трекер MyTracker (VK Group) и прокси-адрес dal.mvk.com. Авторизационный бот @dahl_auth_bot при первом входе передавал номер телефона пользователя на сторонний сервер.

Разработчики Telega признали использование «ряда публично доступных технологий VK», объяснив это знакомством с этим стеком по предыдущему проекту.

20 марта 2026. Анонимная группа исследователей опубликовала «Технический анализ MITM-атаки в клиенте Telega» — полный разбор последней версии Android-клиента.

9 апреля 2026. Cloudflare Radar присвоил доменам telega.me, api.telega.info и telega.info статус Spyware. Вслед за этим удостоверяющий центр GlobalSign отозвал TLS-сертификат приложения. Apple удалила Telega из App Store. В Google Play и RuStore приложение осталось доступным.

11 апреля 2026. Разработчики Telega сообщили, что Cloudflare снял классификацию Spyware: «Безопасность Телеги была подтверждена». Однако сертификаты GlobalSign не были восстановлены. В App Store приложение не вернулось.

17 апреля 2026. iOS начала блокировать запуск уже установленной Telega, предупреждая о вредоносном коде и предлагая удалить приложение.

17–18 апреля 2026. Cloudflare повторно присвоил доменам Telega статус Spyware.

19 апреля 2026. Блогер Сергей Романцев провёл публичный тест: одновременно обновил три iPhone до iOS 26.4.1, на одном из которых была установлена Telega. Два телефона без Telega обновились без проблем. iPhone с Telega не запустился спустя более 10 часов.

Что нашли исследователи в коде

По данным анонимного технического анализа от 20 марта, начиная с обновления от 18 марта 2026 года в клиенте была активирована следующая функциональность:

Подмена серверов. Приложение начало получать конфигурацию у api.telega.info и подставлять 25 IP-адресов в Казани вместо адресов дата-центров Telegram. Эти адреса зарегистрированы на АО «Телега».

Дополнительный RSA-ключ. В криптографическую библиотеку добавлен ключ, отсутствующий в официальном Telegram. Он позволяет принимать «рукопожатие» сессии на стороне Telega и проксировать трафик через собственную инфраструктуру.

Принудительный разлогин. Для пересоздания сессии в приложение встроен механизм soft logout, который мог запускаться через промо-уведомление о «перезаходе для ускорения соединения».

Отключение Perfect Forward Secrecy — стандартного защитного механизма Telegram на случай компрометации ключа.

Скрытие секретных чатов. Флаг enable_sc в конфигурации Firebase выставлен в false: кнопка запуска секретного чата скрыта, входящие запросы на секретный чат не принимаются.

Независимая группа RKS Global подтвердила, что MTProto-трафик пользователей Telega проходит через серверы в Казани.

Команда Telegram в начале апреля добавила в интерфейс мессенджера предупреждение: рядом с именем пользователя, работающего через неофициальный клиент, появляется пометка о возможном снижении защищённости.

Позиция разработчиков

Разработчики Telega отрицают все обвинения в нарушении безопасности. Пометку Cloudflare они назвали «ошибочной классификацией», удаление из App Store объяснили «всплеском негативных отзывов». По их словам, приложение работает через официальный Telegram API с использованием протокола MTProto.

11 апреля команда сообщила о снятии статуса Spyware и продолжает работать над возвращением в App Store. Конкретных сроков названо не было.

Текущий статус

По состоянию на 20 апреля 2026 года:

  • Telega отсутствует в App Store
  • Сертификаты GlobalSign остаются отозванными; приложение использует сертификат Let's Encrypt
  • Cloudflare повторно присвоил доменам статус Spyware
  • iOS блокирует запуск ранее установленной Telega
  • В Google Play и RuStore приложение доступно для загрузки

Рекомендации для пользователей iPhone

Если на устройстве установлена Telega, рекомендуется удалить её перед следующим обновлением iOS во избежание зависания в процессе обновления. При появлении системного предупреждения о вредоносном коде: «Настройки» → Telega → удалить приложение.

При использовании Telega после 18 марта 2026 года целесообразно завершить активные сессии Telegram: «Настройки» → «Конфиденциальность» → «Активные сессии» → «Завершить все другие сессии».

FAQ

Альтернативный клиент Telegram (форк), разработанный казанской компанией АО «Телега». Приложение синхронизируется с существующим Telegram-аккаунтом по номеру телефона.

9 апреля 2026 года Cloudflare Radar присвоил доменам Telega статус Spyware. Исследователи зафиксировали подмену серверов Telegram на собственные, добавление нестандартного RSA-ключа и передачу данных через серверы в Казани. 17–18 апреля статус был присвоен повторно.

После присвоения статуса Spyware удостоверяющий центр GlobalSign отозвал TLS-сертификат Telega. Это стало основанием для удаления из App Store 9 апреля 2026 года.

Man-in-the-Middle — схема, при которой трафик между клиентом и сервером проходит через третью сторону. По данным исследователей, с 18 марта 2026 года Telega направляла трафик через собственные серверы, используя дополнительный ключ шифрования.

iOS блокирует запуск приложений, помеченных как вредоносные. При обновлении системы конфликт между заблокированным приложением и процессом обновления может привести к зависанию устройства. Эксперимент от 19 апреля 2026 года это подтвердил.

Да, в Google Play и RuStore. Технические риски, связанные с прохождением трафика через серверы Telega, не зависят от операционной системы.

По состоянию на апрель 2026 года — нет. Сертификаты GlobalSign не восстановлены, статус Spyware присвоен повторно. Разработчики работают над возвращением в магазин.