- Экс-разработчик Telegram Dmytro Tarasenko выявил связи клиента Telega с инфраструктурой VK внутри Android-кода приложения.
- Обнаружены прокси-сервера и SDK от VK, черные списки на блокировку Telegram-ресурсов и скрытая замена иконок на стиле VK.
- В Telega признали использование решений VK на коммерческих условиях, но отрицают официальную причастность к VK.
Экс-разработчик мессенджера Telegram Dmytro Tarasenko, известный в сети как iTaysonLab, провел тщательный анализ Android-клиента мессенджера Telega и выявил в его коде тесные технические связи с сервисами VK. Об этом стало известно после декомпиляции приложения и изучения обнаруженных строк и сетевых адресов.
В частности, в коде приложения содержится упоминание прокси-сервера dal.mvk.com, который ведёт на домен vkontakte.ru, принадлежащий VK. Кроме того, используются SDK и сервисы разработки, принадлежащие VK Group, в том числе MyTracker и служба звонков через инфраструктуру Одноклассников, что позволяет обеспечить работу звонков в мессенджере без ограничений на территории России.
Анализ также показал, что в клиенте реализован «чёрный список» запрещённых Telegram-каналов, ботов и пользователей, фильтрующий материалы с формулировкой о нарушении правил платформы — подобной функциональности в официальном Telegram-клиенте нет. Управление этим списком может производиться дистанционно через сервер, что позволяет включать или отключать фильтрацию по усмотрению.
Кроме того, в коде выявлена замена стандартных иконок на стилизованные под VK, причём этот код полностью переписан из другого проекта Catogram, основным разработчиком которого является сам Tarasenko. Ещё одно важное наблюдение: при авторизации в приложении передаётся аутентификационный токен (authKeyId), а также номер телефона пользователя, что вызывает вопросы касательно безопасности и приватности данных.
Также пользователи могут смотреть видео и клипы VK прямо в приложении Telega, при этом фирменный брендинг VK удаляется с помощью JavaScript, чтобы скрыть происхождение контента.
Представители проекта Telega в ответ на запросы подтвердили, что домен mvk.com использовался только в ранних версиях приложения в рамках коммерческого соглашения по использованию VK Cloud. В актуальных выпусках клиента этот домен отсутствует. SDK звонков действительно открыт для внешних разработчиков и не свидетельствует о передаче пользовательских данных VK, также чёрные списки служат для родительского контроля и модерации, и активация части функций зависит от флагов сервера. Контент видео с VK в релизах официально не отображался.
Тем не менее, технические данные и обнаруженные связи вызывают определённые сомнения в независимости Telega от VK и ставят вопросы о прозрачности и доверии к этому мессенджеру, особенно учитывая ранее активную рекламу преимущества работы звонков и функций без ограничений в России.
Таким образом, экспертное расследование экс-разработчика Telegram продемонстрировало, что проект Telega, позиционирующий себя как альтернативный Telegram-клиент с улучшенной работой в РФ, обладает скрытыми интеграциями и зависимостями от инфраструктуры VK, что требует внимания пользователей и регуляторов к вопросам информационной безопасности и конфиденциальности.
