Nadiskobrehan ang obfuscated code sa dili opisyal nga Telegram client nga Nekogram. Sekreto kining nagpadala og mga numero sa telepono sa mga tiggamit nga naka-login sa app ngadto sa bot nga "@nekonotificationbot," nga nalambigit sa user ID. Ang pagbag-o sa pagkolekta og mga numero sa telepono makita lamang sa nahuman nga mga APK package nga giapod-apod pinaagi sa Google Play, GitHub, ug Telegram channel sa proyekto. Ang pagbag-o sa pagkolekta og mga numero sa telepono wala sa source code sa GitHub ug sa APK package gikan sa F Droid directory.
Ang backdoor anaa sa Extra.java file. Gituohan nga gipadala kini sugod sa Nekogram nga bersyon 11.2.3, sa sinugdanan ngadto lamang sa mga tiggamit nga adunay mga numero sa telepono sa China, ug dayon ngadto sa tanan. Gigamit usab sa programa ang mga osint bot nga "@tgdb_search_bot" ug "@usinfobot" aron mailhan ang mga tiggamit pinaagi sa ilang mga ID, apan wala ipadala ang mga numero sa telepono kanila. 
Ang mga tigdukiduki nakaugmad og Java hook ug bot nga nagtugot sa bisan kinsang tiggamit sa pag-verify nga ang ilang application instance nagpadala og mga numero sa telepono. 
Sumala sa mga tigdukiduki nga nakadiskubre sa isyu, ang mga tagsulat sa programa mahimong migamit sa impormasyon nga ilang nadawat aron paghimo og database alang sa sunod nga pagbaligya ngadto sa mga tighimo og OSINT bot. Ang pagtago sa pagbag-o ug ang paggamit sa inline requests aron magpadala og datos nagpakita sa tinuyo nga pagtago niini nga kalihokan. Human mabutyag ang isyu sa bug tracking system sa proyekto, ang tagsulat sa Nekogram miangkon nga nagpadala og mga numero sa telepono sa iyang bot, nga wala magpasabot sa hinungdan niini nga kalihokan, apan namatikdan nga ang mga numero sa telepono nga gipadala wala ma-save o gipaambit sa bisan kinsa.
Dugang pa, usa ka kahuyangan ang nakit-an sa opisyal nga Telegram app. Ang Zero Day Initiative (ZDI), usa ka proyekto nga nagtanyag og ganting salapi alang sa pagreport sa wala pa ma-patch nga mga kahuyangan, nagpatik sa pasiunang datos sa kahuyangan nga ZDI-CAN-30207 sa Telegram, nga gihatagan og kritikal nga lebel sa kagrabe (9.8 sa 10) ug giila nga usa ka hilit nga pag-atake nga wala magkinahanglan og aksyon sa tiggamit. Ang mga detalye gikatakda nga ipagawas sa Hulyo 24, nga maghatag sa mga developer sa Telegram og panahon sa pag-deploy og solusyon sa mga tiggamit.
Laing balita, migawas nga ang kahuyangan makita sa pag-abli sa espesyal nga gidisenyo nga mga animated sticker sa Telegram ug mahimong mosangpot sa pagpatuman sa malisyosong code nga walay bisan unsang aksyon sa tiggamit. Dayag nga ang kahuyangan gipahinabo sa usa ka sayup sa rlottie library code, nga nagpagana sa preview function.
Ang mga representante sa Telegram miingon nga wala nila giisip ang nakit-ang problema nga usa ka delikado nga kahuyangan, tungod kay ang tanan nga gi-upload nga mga sticker gisusi daan alang sa mga server Ang Telegram ug ang ingon nga pagsusi makapugong unta sa pagpakita sa malisyosong sticker ngadto sa mga tiggamit. Human sa anunsyo sa Telegram, ang lebel sa kagrabe sa kahuyangan gipaubos gikan sa 9.8 ngadto sa 7.0.
Source: opennet.ru
