Tan simple como:

No code, no trust.

Pero ahí nos metemos también en que tenemos que ser nosotros, o un tercero de confianza, los que compilemos desde las fuentes; para que la aplicación que ejecutamos sea la misma que la del código fuente y no haya backdoors o sistemas para debilitar el cifrado.

Se que telegram es software libre, pero podrían estar metiéndomela doblada con el apk de la App/Play/Windows/etc Store...