비공식 텔레그램 클라이언트인 네코그램(Nekogram)이 개발자의 봇에게 전화번호를 전송했습니다.

비공식 텔레그램 클라이언트인 네코그램(Nekogram)에서 난독화된 코드가 발견되었습니다. 이 코드는 앱에 로그인한 사용자의 전화번호를 해당 사용자 ID와 연결된 봇 "@nekonotificationbot"으로 몰래 전송합니다. 전화번호 수집 기능은 구글 플레이 스토어, 깃허브, 그리고 프로젝트의 텔레그램 채널을 통해 배포된 완성된 APK 패키지에만 존재합니다. 깃허브의 소스 코드와 F-Droid 디렉토리의 APK 패키지에는 해당 기능이 누락되어 있습니다.

백도어는 Extra.java 파일에 존재했습니다. 이 백도어는 네코그램 버전 11.2.3부터 배포된 것으로 추정되며, 처음에는 중국 전화번호를 가진 사용자에게만, 이후에는 모든 사용자에게 배포되었습니다. 또한, 이 프로그램은 OSINT 봇인 "@tgdb_search_bot"과 "@usinfobot"을 사용하여 사용자 ID로 사용자를 식별했지만, 전화번호는 전송하지 않았습니다.

연구원들은 사용자가 자신의 애플리케이션 인스턴스가 전화번호를 전송하는지 확인할 수 있도록 하는 자바 후크와 봇을 개발했습니다.

이 문제를 발견한 연구원들에 따르면, 프로그램 개발자들은 수집한 정보를 바탕으로 데이터베이스를 구축하여 OSINT 봇 제작자들에게 판매했을 가능성이 있습니다. 수정 내용의 난독화와 데이터 전송을 위한 인라인 요청 사용은 이러한 활동을 의도적으로 은폐하려는 시도였음을 시사합니다. 프로젝트의 버그 추적 시스템에 이 문제가 공개된 후, 네코그램(Nekogram) 개발자는 자신의 봇에 전화번호를 전송한 사실을 인정했지만, 그 이유에 대해서는 설명하지 않았습니다. 다만, 전송된 전화번호는 저장되거나 누구와도 공유되지 않았다고 덧붙였습니다.

또한, 텔레그램 공식 앱에서 취약점이 발견되었습니다. 패치가 적용되지 않은 취약점을 신고하는 사람에게 현금 보상을 제공하는 프로젝트인 제로 데이 이니셔티브(ZDI)는 텔레그램의 취약점 ZDI-CAN-30207에 대한 예비 데이터를 공개했습니다. 이 취약점은 심각도 등급이 '심각'(10점 만점에 9.8점)으로 분류되었으며, 사용자 조치가 필요 없는 원격 공격으로 확인되었습니다. 자세한 내용은 7월 24일에 공개될 예정이며, 텔레그램 개발자들은 이를 바탕으로 사용자에게 수정 패치를 배포할 시간을 확보하게 됩니다.

한편, 텔레그램에서 특별히 제작된 애니메이션 스티커를 열 때 취약점이 발생하여 사용자 조작 없이 악성 코드가 실행될 수 있다는 정보가 나왔습니다. 이 취약점은 미리보기 기능을 활성화하는 rlottie 라이브러리 코드의 오류로 인해 발생하는 것으로 보입니다.

텔레그램 관계자는 업로드된 모든 스티커에 대해 사전 검사가 이루어지기 때문에 발견된 문제가 위험한 취약점이라고 보지 않는다고 밝혔습니다. 서버 텔레그램에서 이러한 검사를 실시했다면 악성 스티커가 사용자에게 표시되는 것을 막을 수 있었을 것입니다. 텔레그램의 발표 이후 해당 취약점의 심각도 수준은 9.8에서 7.0으로 하향 조정되었습니다.

출처 : opennet.ru