S'ha descobert codi ofuscat al client no oficial de Telegram, Nekogram. Envia en secret els números de telèfon dels usuaris que han iniciat sessió a l'aplicació al bot "@nekonotificationbot", vinculat a l'ID d'usuari. El canvi per recopilar números de telèfon només està present als paquets APK complets distribuïts a través de Google Play, GitHub i el canal de Telegram del projecte. El canvi per recopilar números de telèfon no es troba al codi font de GitHub ni al paquet APK del directori F Droid.
La porta del darrere era present al fitxer Extra.java. Presumiblement es va enviar a partir de la versió 11.2.3 de Nekogram, inicialment només als usuaris amb números de telèfon xinesos i després a tothom. El programa també utilitzava els bots osint "@tgdb_search_bot" i "@usinfobot" per identificar els usuaris pels seus ID, però no se'ls enviaven números de telèfon. 
Uns investigadors han desenvolupat un hook i un bot de Java que permeten a qualsevol usuari verificar que la seva instància d'aplicació envia números de telèfon. 
Segons els investigadors que van descobrir el problema, els autors del programa podrien haver utilitzat la informació rebuda per crear una base de dades per a la seva posterior venda als creadors de bots OSINT. L'ofuscació de la modificació i l'ús de sol·licituds en línia per enviar dades indiquen una ocultació intencionada d'aquesta activitat. Després que el problema es descobrís al sistema de seguiment d'errors del projecte, l'autor de Nekogram va admetre haver enviat números de telèfon al seu bot, sense explicar el motiu d'aquesta activitat, però va assenyalar que els números de telèfon enviats no es van desar ni es van compartir amb ningú.
A més, s'ha identificat una vulnerabilitat a l'aplicació oficial de Telegram. La Zero Day Initiative (ZDI), un projecte que ofereix recompenses en metàl·lic per informar de vulnerabilitats no corregides, ha publicat dades preliminars sobre la vulnerabilitat ZDI-CAN-30207 a Telegram, a la qual se li ha assignat un nivell de gravetat crítica (9.8 sobre 10) i s'ha identificat com un atac remot que no requereix cap acció de l'usuari. Està previst que els detalls es publiquin el 24 de juliol, cosa que donarà temps als desenvolupadors de Telegram per implementar una solució als usuaris.
Per separat, ha sorgit informació que la vulnerabilitat es manifesta en obrir adhesius animats especialment dissenyats a Telegram i pot conduir a l'execució de codi maliciós sense cap acció de l'usuari. Pel que sembla, la vulnerabilitat està causada per un error al codi de la biblioteca rlottie, que habilita la funció de vista prèvia.
Els representants de Telegram van declarar que no consideren que el problema identificat sigui una vulnerabilitat perillosa, ja que tots els adhesius carregats es comproven prèviament. servidors Telegram i una comprovació d'aquest tipus haurien impedit que l'adhesiu maliciós es mostrés als usuaris. Després de l'anunci de Telegram, el nivell de gravetat de la vulnerabilitat es va reduir de 9.8 a 7.0.
Font: opennet.ru
