Kode nahasi bat aurkitu da Nekogram Telegram bezero ez-ofizialean. Aplikazioan saioa hasi duten erabiltzaileen telefono zenbakiak "@nekonotificationbot" bot-era bidaltzen ditu isilpean, erabiltzailearen IDarekin lotuta. Telefono zenbakiak biltzeko aldaketa Google Play, GitHub eta proiektuaren Telegram kanalaren bidez banatzen diren APK pakete osatuetan bakarrik dago. Telefono zenbakiak biltzeko aldaketa falta da GitHub-eko iturburu-kodean eta F Droid direktorioko APK paketean.
Atzeko atea Extra.java fitxategian zegoen. Seguruenik Nekogram 11.2.3 bertsioarekin hasita bidali zen, hasieran txinatar telefono zenbakiak zituzten erabiltzaileei bakarrik, eta gero guztiei. Programak "@tgdb_search_bot" eta "@usinfobot" osint bot-ak ere erabiltzen zituen erabiltzaileak beren IDen bidez identifikatzeko, baina telefono zenbakiak ez zitzaizkien bidali. 
Ikertzaileek Java hook eta bot bat garatu dute, edozein erabiltzaileri bere aplikazioaren instantziak telefono zenbakiak bidaltzen ari dela egiaztatzeko aukera ematen diotena. 
Arazoa aurkitu zuten ikertzaileen arabera, programaren egileek jasotako informazioa datu-base bat eraikitzeko erabili zezaketen, ondoren OSINT bot sortzaileei saltzeko. Aldaketaren nahasteak eta datuak bidaltzeko eskaera integratuak erabiltzeak jarduera hori nahita ezkutatu zutela adierazten dute. Arazoa proiektuaren akatsen jarraipen sisteman agerian geratu ondoren, Nekogram-en egileak onartu zuen telefono zenbakiak bere bot-ari bidali zizkiola, jarduera horren arrazoia azaldu gabe, baina adierazi zuen bidalitako telefono zenbakiak ez zirela gorde edo inorekin partekatu.
Gainera, ahultasun bat identifikatu da Telegram aplikazio ofizialean. Zero Day Initiative (ZDI) ekimenak, konpondu gabeko ahultasunak salatzeagatik diru-saria eskaintzen duen proiektu batek, Telegram-eko ZDI-CAN-30207 ahultasunari buruzko aurretiazko datuak argitaratu ditu, eta larritasun maila kritikoa (10etik 9.8) esleitu zaio eta erabiltzailearen ekintzarik behar ez duen urruneko eraso gisa identifikatu da. Xehetasunak uztailaren 24an argitaratuko dira, Telegram-eko garatzaileei erabiltzaileei konponketa bat zabaltzeko denbora emanez.
Bestetik, informazioa agertu da ahultasuna Telegram-en bereziki diseinatutako animaziozko eranskailuak irekitzean agertzen dela eta kode gaiztoa exekutatzea ekar dezakeela erabiltzailearen ekintzarik gabe. Antza denez, ahultasuna rlottie liburutegiko kodean dagoen errore batek eragiten du, aurrebista funtzioa gaitzen duena.
Telegrameko ordezkariek adierazi dute ez dutela uste identifikatutako arazoa ahultasun arriskutsutzat, igotako eranskailu guztiak aldez aurretik egiaztatu baitira. zerbitzariak Telegramek eta halako egiaztapen batek erabiltzaileei eranskailu gaiztoa erakustea eragotziko zukeen. Telegramen iragarpenaren ondoren, ahultasunaren larritasun maila 9.8tik 7.0ra jaitsi zen.
Iturria: opennet.ru
