非官方 Telegram 用戶端 Nekogram 中發現了混淆程式碼。程式碼會秘密地將已登入使用者的手機號碼傳送給與使用者 ID 相關的機器人「@nekonotificationbot」。收集手機號碼的這項變更僅存在於透過 Google Play、GitHub 和專案 Telegram 頻道分發的完整 APK 包中。 GitHub 上的原始碼和 F-Droid 目錄中的 APK 套件中均未包含此變更。
後門程式存在於 Extra.java 檔案中。據推測,該程式從 Nekogram 11.2.3 版本開始推送,最初僅推送給擁有中國手機號碼的用戶,之後推送給所有用戶。該程式還利用開源情報機器人「@tgdb_search_bot」和「@usinfobot」透過用戶 ID 識別用戶,但並未向這些機器人發送手機號碼。 
研究人員開發了一種 Java 鉤子和機器人,允許任何用戶驗證他們的應用程式實例是否正在發送電話號碼。 
發現此問題的研究人員表示,該程式的作者可能利用他們獲取的資訊建立了一個資料庫,隨後將其出售給開源情報(OSINT)機器人創建者。對修改的混淆處理以及使用內聯請求發送資料表明,他們有意隱瞞了這項活動。在專案漏洞追蹤系統中揭露此問題後,Nekogram 的作者承認曾向其機器人發送電話號碼,但並未解釋此舉的原因,不過他表示發送的電話號碼並未被保存或與任何人共享。
此外,官方 Telegram 應用也發現了一個漏洞。零日漏洞計畫 (ZDI) 是一個為報告未修復漏洞提供現金獎勵的項目,該計畫已發布了 Telegram 漏洞 ZDI-CAN-30207 的初步數據。此漏洞被評為嚴重等級(9.8 分,滿分 10 分),並被認定為無需使用者操作的遠端攻擊。詳細資訊將於 7 月 24 日發布,以便 Telegram 開發人員有時間向用戶推送修復程序。
另據報導,漏洞會在使用者開啟Telegram中特製的動畫貼紙時暴露出來,並可能導致惡意程式碼在使用者未進行任何操作的情況下執行。據悉,該漏洞是由rlottie庫程式碼中的一個錯誤引起的,該庫負責啟用預覽功能。
Telegram 代表表示,他們不認為已發現的問題是一個危險的漏洞,因為所有上傳的貼紙都經過預先檢查。 伺服器 Telegram 如果有這樣的檢查機制,就能阻止惡意貼紙顯示給使用者。在 Telegram 發佈公告後,漏洞的嚴重程度從 9.8 降至 7.0。
來源: opennet.ru
