Экс-разработчик Telegram Dmytro Tarasenko (aka iTaysonLab) выяснил, что проект клиента Telega скрывает в своём коде на Android определённые связи с ресурсами VK. В компании ответили, что используют решения VK на коммерческих условиях, но не являются проектом VK.
Ранее проект Telega начали активно рекламировать в Telegram в РФ с упором на то. что там работают все звонки и многие опции без ограничений.
«Тут начали закупать в Telegram рекламу некого мессенджера Telega, обещающего золотые горы стабильную работу Telegram на территории РФ. Но в чем подвох? А в том, что эта Telega — является проектом VK. но как об этом узнать? а все просто — берем APK и открываем декомпилятор», — пояснил Tarasenko.
Идём в ru.dahl.messenger.Extra и видим: → PROXY_ADDRESS = «dal.mvk.com», прокси‑адрес, запишем → MYTRACKER_SDK_KEY = «*», SDK‑ключ от трекера MyTracker, который принадлежит Mai VK Group → CALLS_BASE_URL = «https://calls.okcdn.ru/» — те самые рабочие звонки, которые на самом деле являются звонками через инфраструктуру Одноклассников (на которых работает еще MAX и VK Звонки, ага).
А теперь берем dal.mvk.com: → неймсервера mvk.com идут на малоизвестный домен VKONTAKTE.RU → в декомпиляции официального клиента VK для Android можно найти референсы на «https://jira.mvk.com» (и вся реклама этого клиента в ТГ ведет на трекинг‑домен trk.mail.ru).
а вот тут уже обнаруживается прикольная вещь: в клиенте есть «черны�� список» нежелательных ТГ‑каналов, ботов и пользователей! при нажатии на которых выводится ТГ‑шная «заглушка» с своим текстом:
Материалы недоступны Этот %1$s недоступен в связи n с нарушениями правил платформы
Какие правила платформы? Telegram? но таких строчек нет в официальном клиенте Telegram 🙂 и да — чёрный список включается по флагу из сервера, то есть они могут включить это в любой момент.
а кроме этого, в клиенте есть замена иконок на ВКшные. все бы ничего, но весь код замены был взят из такого малоизвестного клиента как Catogram (https://github.com/Catogram/Catogram/blob/a34ddfb42f50b86eb7cd83fb68ea24fa041084a9/TMessagesProj/src/main/java/ua/itaysonlab/catogram/vkui/ReplaceKtx.kt) BaseIconReplace → ru.dahl.messenger.icons.BaseIconReplacement No/VkIconReplace → ru.dahl.messenger.icons.AltIconReplacement/IconReplacementNone ReplaceKtx.newSparseInt → ru.dahl.messenger.icons.BaseIconReplacementKt причем взяли все подчистую — те же названия переменных, методов, параметров и даже код тот же (даже тот же sparseInt сделали root‑level функцией Kotlin).
«А забавный факт в том, что основной разработкой Catogram занимался… я», — сообщил Tarasenko.
«А ещё вот такие данные улетают при авторизации в этом приложении authKeyId это если что аналог авторизационного токена в Telegram, поэтому дело ЭКСТ VStillers живет UP: authKeyId не является прям серьёзной вещью, но номер телефона оно все равно сольёт», — выяснил Tarasenko.
«А вы тоже любите смотреть VK Видео и VK Клипы прямо в Telegram? Причём брендинг ВК и навигация убирается JavaScript‑скриптом, чтобы сразу подвоха не заметить», — также обнаружил Tarasenko.
«Оно сливает номер на сервер», — добавил Tarasenko.
После запроса Tarasenko в Telega ответили на его вопросы так:
домен mvk.com был в одной из ранних сборок, когда мы использовали коммерческий пакет в VK Cloud для инфраструктуры прокси, вероятно, VK Cloud и внутренние сервисы VK живут на одном домене. В текущих версиях клиента этого домена нет;
mvk.com все ещё является внутренним доменом VK и не относится к VK Cloud;
SDK звонков также доступен любому разработчику; это не создаёт аффилированности и не предполагает передачу VK пользовательского контента;
vk.com/dev ничего не пишет о SDK VK Calls, как собственно и наличие публичного SDK не означает что API‑ключ выдают всем;
Этот фрагмент — заглушка, которую проектировали для системы родительского контроля и в текущих релизах не используется;
в приложении два чёрных списка — для родительского контроля и для «модерации» (те самые нарушения правил платформы) они существуют отдельно и второй список зависит от флага, который приходит при запуске приложения как и все в общем зависит от флагов;
тот же раздел с VK Video/клипами тоже включается на стороне сервера. Но они никогда не отображалась в проде. Тогда почему при оверрайде blacklist_filter_enabled в API можно включить этот чёрный список, который очень даже рабочий?
Также другие разработчики обнаружили в репозитории проекта различные отсылки на VK.
Источник: habr.com