Kode yang dienkripsi telah ditemukan di klien Telegram tidak resmi Nekogram. Kode tersebut secara diam-diam mengirimkan nomor telepon pengguna yang masuk ke aplikasi ke bot "@nekonotificationbot," yang terhubung dengan ID pengguna. Perubahan untuk mengumpulkan nomor telepon hanya ada dalam paket APK lengkap yang didistribusikan melalui Google Play, GitHub, dan saluran Telegram proyek tersebut. Perubahan untuk mengumpulkan nomor telepon tidak ada dalam kode sumber di GitHub dan paket APK dari direktori F Droid.
Celah keamanan tersebut terdapat dalam file Extra.java. Celah ini diduga mulai dikirimkan pada Nekogram versi 11.2.3, awalnya hanya kepada pengguna dengan nomor telepon Tiongkok, dan kemudian kepada semua orang. Program ini juga menggunakan bot osint "@tgdb_search_bot" dan "@usinfobot" untuk mengidentifikasi pengguna berdasarkan ID mereka, tetapi nomor telepon tidak dikirimkan kepada mereka. 
Para peneliti telah mengembangkan sebuah hook dan bot Java yang memungkinkan setiap pengguna untuk memverifikasi bahwa instance aplikasi mereka mengirimkan nomor telepon. 
Menurut para peneliti yang mengungkap masalah ini, para pembuat program mungkin telah menggunakan informasi yang mereka terima untuk membangun basis data yang kemudian dijual kepada pembuat bot OSINT. Pengaburan modifikasi dan penggunaan permintaan inline untuk mengirim data menunjukkan penyembunyian aktivitas ini secara sengaja. Setelah masalah ini terungkap dalam sistem pelacakan bug proyek, penulis Nekogram mengakui telah mengirim nomor telepon ke bot-nya, tanpa menjelaskan alasan aktivitas ini, tetapi mencatat bahwa nomor telepon yang dikirim tidak disimpan atau dibagikan kepada siapa pun.
Selain itu, kerentanan telah diidentifikasi dalam aplikasi Telegram resmi. Zero Day Initiative (ZDI), sebuah proyek yang menawarkan hadiah uang tunai untuk melaporkan kerentanan yang belum ditambal, telah menerbitkan data awal tentang kerentanan ZDI-CAN-30207 di Telegram, yang telah diberi tingkat keparahan kritis (9.8 dari 10) dan diidentifikasi sebagai serangan jarak jauh yang tidak memerlukan tindakan pengguna. Detailnya dijadwalkan akan dirilis pada 24 Juli, memberi waktu kepada pengembang Telegram untuk menerapkan perbaikan kepada pengguna.
Secara terpisah, muncul informasi bahwa kerentanan tersebut muncul saat membuka stiker animasi yang dirancang khusus di Telegram dan dapat menyebabkan eksekusi kode berbahaya tanpa tindakan pengguna apa pun. Rupanya, kerentanan tersebut disebabkan oleh kesalahan dalam kode pustaka rlottie, yang mengaktifkan fungsi pratinjau.
Perwakilan Telegram menyatakan bahwa mereka tidak menganggap masalah yang teridentifikasi sebagai kerentanan yang berbahaya, karena semua stiker yang diunggah telah diperiksa terlebih dahulu. server Telegram dan pemeriksaan semacam itu akan mencegah stiker berbahaya tersebut ditampilkan kepada pengguna. Setelah pengumuman Telegram, tingkat keparahan kerentanan diturunkan dari 9.8 menjadi 7.0.
Sumber: opennet.ru
