Du code obscurci a été découvert dans le client Telegram non officiel Nekogram. Ce code envoie secrètement les numéros de téléphone des utilisateurs connectés à l'application au bot « @nekonotificationbot », associé à l'identifiant de l'utilisateur. Cette modification permettant la collecte des numéros de téléphone est uniquement présente dans les fichiers APK finalisés distribués via Google Play, GitHub et le canal Telegram du projet. Elle est absente du code source sur GitHub et du fichier APK du répertoire F Droid.
La porte dérobée était présente dans le fichier Extra.java. Elle a vraisemblablement été diffusée à partir de la version 11.2.3 de Nekogram, initialement uniquement aux utilisateurs possédant un numéro de téléphone chinois, puis à tous. Le programme utilisait également les bots d'investigation OSINT « @tgdb_search_bot » et « @usinfobot » pour identifier les utilisateurs par leur identifiant, mais leurs numéros de téléphone ne leur étaient pas communiqués. 
Des chercheurs ont développé un programme Java et un bot permettant à tout utilisateur de vérifier que son instance d'application envoie bien des numéros de téléphone. 
D'après les chercheurs qui ont découvert le problème, les auteurs du programme auraient utilisé les informations reçues pour constituer une base de données destinée à être revendue ultérieurement à des créateurs de bots OSINT. L'obfuscation de la modification et l'utilisation de requêtes intégrées pour l'envoi de données indiquent une dissimulation intentionnelle de cette activité. Après la révélation du problème dans le système de suivi des bogues du projet, l'auteur de Nekogram a admis avoir envoyé des numéros de téléphone à son bot, sans en expliquer la raison, mais a précisé que ces numéros n'avaient été ni enregistrés ni partagés.
Par ailleurs, une vulnérabilité a été identifiée dans l'application officielle Telegram. L'initiative Zero Day Initiative (ZDI), qui offre des récompenses financières pour le signalement de vulnérabilités non corrigées, a publié des données préliminaires concernant la vulnérabilité ZDI-CAN-30207 dans Telegram. Cette vulnérabilité, de gravité critique (niveau 9.8 sur 10), a été identifiée comme une attaque à distance ne nécessitant aucune intervention de l'utilisateur. Des informations complémentaires seront publiées le 24 juillet, laissant ainsi aux développeurs de Telegram le temps de déployer un correctif.
Par ailleurs, il a été révélé que cette vulnérabilité se manifeste lors de l'ouverture de stickers animés spécialement conçus dans Telegram et peut permettre l'exécution de code malveillant sans intervention de l'utilisateur. Apparemment, cette vulnérabilité est due à une erreur dans le code de la bibliothèque rlottie, qui gère la fonction de prévisualisation.
Les représentants de Telegram ont déclaré qu'ils ne considèrent pas le problème identifié comme une vulnérabilité dangereuse, car tous les autocollants téléchargés sont vérifiés au préalable. серверах Telegram et une telle vérification auraient empêché l'affichage de l'autocollant malveillant aux utilisateurs. Suite à l'annonce de Telegram, le niveau de gravité de la vulnérabilité a été abaissé de 9.8 à 7.0.
Source: opennet.ru
