В неофициальном Telegram-клиенте Для просмотра ссылки Войди или Зарегистрируйся выявлен обфусцированный код, скрыто Для просмотра ссылки Войди или Зарегистрируйся боту "@nekonotificationbot" номера телефонов пользователей, вошедших в приложение, в привязке к идентификатору пользователя. Изменение для сбора номеров телефонов присутствует только в готовых APK-пакетах, распространяемых через Google Play, GitHub и Telegram-канал проекта. В исходном коде на GitHub и в APK-пакете из каталога F-Droid собирающее телефоны изменение отсутствует.
Бэкдор присутствовал в файле Extra.java. Предположительно, отправка осуществлялась начиная с версии Nekogram 11.2.3, первое время только для пользователей с китайскими номерами, а затем для всех. В программе также использовались osint-боты "@tgdb_search_bot" и "@usinfobot" для определения пользователей по их ID, но номера телефонов им не отправлялись.
Исследователями Для просмотра ссылки Войдиили Зарегистрируйся java-хук и бот, позволяющие любому пользователю убедиться в отправке номеров телефонов его экземпляром приложения.
По мнению выявивших проблему исследователей, авторы программы могли использовать получаемую информации для формирования базы данных для последующей продажи создателям OSINT-ботов. О намеренном скрытии подобной активности свидетельствует обфускация изменения и применение inline-запросов для отправки данных. После Для просмотра ссылки Войдиили Зарегистрируйся в системе отслеживания ошибок проекта автор Nekogram Для просмотра ссылки Войди или Зарегистрируйся отправку номеров телефонов своему боту, не пояснив причины такой активности, но упомянув, что присылаемые телефоны не сохранялись и не передавались кому-либо.
Дополнительно можно отметить Для просмотра ссылки Войдиили Зарегистрируйся уязвимости в официальном приложении Telegram. Проект Zero Day Initiative (ZDI), предоставляющий денежные вознаграждения за сообщения о неисправленных уязвимостях, Для просмотра ссылки Войди или Зарегистрируйся предварительные данные об уязвимости ZDI-CAN-30207 в Telegram, которой присвоен критический уровень опасности (9.8 из 10) и выставлен признак удалённой атаки, не требующей действий от пользователя. Детали намерены раскрыть 24 июля, дав время разработчикам Telegram довести исправление до пользователей.
Отдельно Для просмотра ссылки Войдиили Зарегистрируйся Для просмотра ссылки Войди или Зарегистрируйся, что уязвимость проявляется при открытии в Telеgram специально оформленных анимированных стикеров и может привести к выполнению кода злоумышленника без каких-либо действий со стороны пользователя. Судя по всему, уязвимость вызвана ошибкой в коде библиотеки Для просмотра ссылки Войди или Зарегистрируйся, обеспечивающем работу предпросмотра.
Представители Telegram Для просмотра ссылки Войдиили Зарегистрируйся, что не считают выявленную проблему опасной уязвимостью, так как все загружаемые стикеры предварительно проверяются на серверах Telegram-а и подобная проверка не допустила бы показ пользователям вредоносного стикера. После заявления Telegram уровень опасности уязвимости был снижен с 9.8 до 7.0.
Источник: opennet.ru
Бэкдор присутствовал в файле Extra.java. Предположительно, отправка осуществлялась начиная с версии Nekogram 11.2.3, первое время только для пользователей с китайскими номерами, а затем для всех. В программе также использовались osint-боты "@tgdb_search_bot" и "@usinfobot" для определения пользователей по их ID, но номера телефонов им не отправлялись.
Исследователями Для просмотра ссылки Войди
По мнению выявивших проблему исследователей, авторы программы могли использовать получаемую информации для формирования базы данных для последующей продажи создателям OSINT-ботов. О намеренном скрытии подобной активности свидетельствует обфускация изменения и применение inline-запросов для отправки данных. После Для просмотра ссылки Войди
Дополнительно можно отметить Для просмотра ссылки Войди
Отдельно Для просмотра ссылки Войди
Представители Telegram Для просмотра ссылки Войди
Источник: opennet.ru