У неофіційному Telegram-клієнті Nekogram виявлено обфусцований код, який приховано надсилає боту «@nekonotificationbot» номери телефонів користувачів, що увійшли до програми, у прив'язці до індентифікатора користувача. Зміна для збору номерів телефонів є тільки в готових APK-пакетах, що розповсюджуються через Google Play, GitHub та Telegram-канал проекту. У вихідному коді на GitHub і в APK-пакенті з каталогу F Droid зміна відсутня.
Бекдор був присутній у файлі Extra.java. Імовірно, відправка здійснювалася починаючи з версії Nekogram 11.2.3, спочатку тільки для користувачів з китайськими номерами, а потім для всіх. У програмі також використовувалися osint-боти @tgdb_search_bot і @usinfobot для визначення користувачів за їх ID, але номери телефонів їм не відправлялися. 
Дослідниками підготовлений java-хук та бот, що дозволяють будь-якому користувачу переконатися у відправленні номерів телефонів його екземпляром програми. 
На думку дослідників, що виявили проблему, автори програми могли використовувати одержувану інформацію для формування бази даних для подальшого продажу творцям OSINT-ботів. Про навмисне приховування такої активності свідчить обфускація зміни та застосування inline-запитів для надсилання даних. Після розкриття проблеми в системі відстеження помилок проекту автор Nekogram визнав відправку номерів телефонів своєму боту, не пояснивши причини такої активності, але згадавши, що телефони, що надсилаються, не зберігалися і не передавалися комусь.
Додатково можна зазначити виявлення вразливості в офіційному додатку Telegram. Проект Zero Day Initiative (ZDI), що надає грошові винагороди за повідомлення про невиправлені вразливості, опублікував попередні дані про вразливість ZDI-CAN-30207 в Telegram, якій надано критичний рівень небезпеки (9.8 з 10) і виставлено ознаку віддаленої атаки, яка не вимагає дій. Деталі мають намір розкрити 24 липня, давши час розробникам Telegram довести виправлення до користувачів.
Окремо з'явилася інформація, що вразливість проявляється при відкритті в Telеgram спеціально оформлених анімованих стікерів та може призвести до виконання коду зловмисника без будь-яких дій з боку користувача. Зважаючи на все, вразливість викликана помилкою в коді бібліотеки rlottie, що забезпечує роботу попереднього перегляду.
Представники Telegram заявили, що не вважають виявлену проблему небезпечною вразливістю, оскільки всі стікери, що завантажуються, попередньо перевіряються на серверах Telegram і подібна перевірка не допустила б показ користувачам шкідливого стікера. Після заяви Telegram рівень небезпеки вразливості знижено з 9.8 до 7.0.
Джерело: opennet.ru
