تم اكتشاف شيفرة مشفرة في تطبيق Nekogram غير الرسمي على تيليجرام. تقوم هذه الشيفرة سرًا بإرسال أرقام هواتف المستخدمين المسجلين في التطبيق إلى بوت "@nekonotificationbot" المرتبط بمعرف المستخدم. يقتصر هذا التغيير، الذي يسمح بجمع أرقام الهواتف، على حزم APK الكاملة الموزعة عبر متجر جوجل بلاي، ومنصة جيت هاب، وقناة تيليجرام الخاصة بالمشروع. هذا التغيير غير موجود في الشيفرة المصدرية على جيت هاب، ولا في حزمة APK الموجودة في مجلد F Droid.
كانت الثغرة الأمنية موجودة في ملف Extra.java. يُفترض أنها أُرسلت بدءًا من إصدار Nekogram 11.2.3، في البداية فقط إلى المستخدمين ذوي أرقام الهواتف الصينية، ثم إلى جميع المستخدمين. كما استخدم البرنامج روبوتات الاستخبارات مفتوحة المصدر "@tgdb_search_bot" و"@usinfobot" لتحديد المستخدمين من خلال معرّفاتهم، ولكن لم تُرسل أرقام هواتفهم إليهم. 
قام الباحثون بتطوير خطاف جافا وبوت يسمحان لأي مستخدم بالتحقق من أن تطبيقهم يرسل أرقام الهواتف. 
بحسب الباحثين الذين كشفوا عن المشكلة، يُحتمل أن يكون مطورو البرنامج قد استخدموا المعلومات التي حصلوا عليها لبناء قاعدة بيانات لبيعها لاحقًا لمطوري برامج الروبوتات التي تستخدم الاستخبارات مفتوحة المصدر (OSINT). ويشير إخفاء التعديل واستخدام طلبات مضمنة لإرسال البيانات إلى إخفاء متعمد لهذا النشاط. بعد الكشف عن المشكلة في نظام تتبع الأخطاء الخاص بالمشروع، أقرّ مطور برنامج Nekogram بإرسال أرقام هواتف إلى برنامجه، دون توضيح سبب ذلك، لكنه أشار إلى أن أرقام الهواتف المرسلة لم تُحفظ أو تُشارك مع أي شخص.
بالإضافة إلى ذلك، تم اكتشاف ثغرة أمنية في تطبيق تيليجرام الرسمي. وقد نشرت مبادرة Zero Day Initiative (ZDI)، وهي مشروع يقدم مكافآت مالية للإبلاغ عن الثغرات الأمنية غير المُعالجة، بيانات أولية حول الثغرة ZDI-CAN-30207 في تيليجرام، والتي صُنفت ضمن مستوى الخطورة الحرجة (9.8 من 10) ووُصفت بأنها هجوم عن بُعد لا يتطلب أي إجراء من المستخدم. ومن المقرر نشر التفاصيل في 24 يوليو، مما يمنح مطوري تيليجرام الوقت الكافي لتوفير تحديث للمستخدمين.
في سياق منفصل، ظهرت معلومات تفيد بأن الثغرة الأمنية تظهر عند فتح ملصقات متحركة مصممة خصيصًا في تطبيق تيليجرام، وقد تؤدي إلى تنفيذ برمجيات خبيثة دون أي تدخل من المستخدم. ويبدو أن هذه الثغرة ناتجة عن خطأ في كود مكتبة rlottie، المسؤولة عن تفعيل خاصية المعاينة.
أكد ممثلو تيليجرام أنهم لا يعتبرون المشكلة المحددة ثغرة أمنية خطيرة، حيث يتم فحص جميع الملصقات التي يتم تحميلها مسبقًا. الخوادم كان بإمكان تطبيق تيليجرام، من خلال إجراء فحص مماثل، منع عرض الملصق الخبيث للمستخدمين. وبعد إعلان تيليجرام، تم تخفيض مستوى خطورة الثغرة الأمنية من 9.8 إلى 7.0.
المصدر: opennet.ru
