原文 https://thebadinteger.github.io/nekogram-phone-exfiltration/
安全研究人员发现第三方 Telegram 客户端 Nekogram 12.5.2 ( Google Play 版)内置后门代码,会在用户不知情的情况下收集所有已登录账号的手机号,并通过 Inline Query 外传至开发者控制的 Bot (@nekonotificationbot )。
后门代码位于 Extra.java (混淆后为 uo5 ),核心逻辑:遍历 8 个账号槽位 → 提取 UserID 与手机号 → 拼接密钥后以 Inline Query 发送。所有关键字符串均经自定义加密混淆。
该后门仅存在于编译发布的 APK 中,GitHub 公开源码中的对应文件为无害占位。经独立反编译对比验证,从源码自行编译的版本不含上述后门组件。
开发者回应称 Bot 仅用于"解析用户名",但代码中明确提取了 phone 字段并使用无痕传输方式,与其说辞不符。
source https://t.me/c/1504594185/280820
安全研究人员发现第三方 Telegram 客户端 Nekogram 12.5.2 ( Google Play 版)内置后门代码,会在用户不知情的情况下收集所有已登录账号的手机号,并通过 Inline Query 外传至开发者控制的 Bot (@nekonotificationbot )。
后门代码位于 Extra.java (混淆后为 uo5 ),核心逻辑:遍历 8 个账号槽位 → 提取 UserID 与手机号 → 拼接密钥后以 Inline Query 发送。所有关键字符串均经自定义加密混淆。
该后门仅存在于编译发布的 APK 中,GitHub 公开源码中的对应文件为无害占位。经独立反编译对比验证,从源码自行编译的版本不含上述后门组件。
开发者回应称 Bot 仅用于"解析用户名",但代码中明确提取了 phone 字段并使用无痕传输方式,与其说辞不符。
source https://t.me/c/1504594185/280820
 | 1 sddyzm 2 天前  1 炸了 |
 | 2 sf 2 天前 via Android 生活为何如此艰难 |
 | 3 objectgiga 2 天前 作者表示你爱用不用,回头数据指不定就卖给社工库了 在群里大放厥词 NekoChat/620712 |
 | 4 nc 2 天前 只能说是验证 Chinese Spyware 刻板印象了 PS. GitHub Issues 已经开始了: https://github.com/Nekogram/Nekogram/issues/336 |
 | 5 zlhsvc 2 天前 炸了,现在是不是只能用官方客户端了 |
 | 7 kuse2001 2 天前 via Android 曾经用过很久,后来发现疯狂往一个奇怪地址发包,就觉得不靠谱。换官方了 |
 | 8 fang5566 2 天前 已经确认了 neko 有问题,neko 的 tg 群在疯狂删消息,限制发消息和 ban 质疑的用户。neko 是最大的第三方 tg ,很多其他改版的都是基于 neko 的。还是换客户端吧,不知道我用的 nagramx 有没有问题。cherrygram 已经确认是没有问题的了。 |
 | 9 strobber16 2 天前 via Android 已经发了的换客户端有啥用。怕不是这货已经被国安招安了,只要是用+86 注册并使用 neko 登陆过的,都能从帐号定位到肉身。 |
 | 10 misaka0x34ca 2 天前 |
| 11 misaka0x34ca 2 天前 |
| 12 misaka0x34ca 2 天前 验证 PoC: https://github.com/RomashkaTea/nekogram-proof-of-logging 开发者承认传输了手机号: https://t.me/NekoUpdates/531 |
 | 13 sir283 2 天前 不喜欢用这种第三方客户端,逃过一难。。。 |
 | 14 dumbass 2 天前 只用过 nicegram 和 swiftgram |
 | 15 cirzear 2 天前 tg 用第三方的是有啥特殊功能么,感觉官方的完全够用呢 |
 | 16 bitxeno 2 天前 这部分代码没开源,怎洗也说不清 |
 | 17 nVoxel 2 天前 via Android 网络类软件,cn 的还是算了吧。不是技术问题是理念问题 |
 | 18 zhmouV2 2 天前 国内的 app 有时候会用改版比如 贴吧 Lite (当然现在停更了) 但是 telegram 本身已经设计的很好了 一般没必要用改版吧 这种破事儿也是天天发生,比如 tg 原来的中文包社区不再维护了(这个版本我记得就是 telegram 刚卖会员那会儿,翻译还整活儿在会员页面用“你所热爱的就是你的生活”来调侃) 而现在搜索中文包,其中人数最多的频道会引流到一个 bot ,这个 bot 居然 tm 会找你要电话号码。 https://imgur.com/a/RNB4asz 还是用官方 url 吧: https://t.me/setlanguage/zh-hans-beta |
 | 19 wat4me 2 天前 我觉得电报官方软件挺好用的,魔改客户端就会有风险 |
 | 20 zheke520 2 天前 via Android 我去,我之前用过这个,而且用了很久…… |
 | 21 Kobayashi 2 天前 via Android |
 | 22 smqy2314 2 天前 作者是有前科的 不要碰它的东西 |
| 23 zheke520 2 天前 via Android turrit 这个第三方有没有这个漏洞? |
 | 24 sicifus 2 天前 这作者真 tmd 有病吧, 不好意思没控制住爆粗口 |
 | 26 tyzrj766 2 天前 TG 感觉没必要用什么第三方客户端,之前用了几个主要是就是中英翻译比官方的效果好和自定义几处外观,其他和官方几乎都一样,而且代码都是从官方上游继承来的,官方客户端有的 BUG ,第三方一样不落都会有。 |
Select Language