原文 https://thebadinteger.github.io/nekogram-phone-exfiltration/
安全研究人员发现第三方 Telegram 客户端 Nekogram 12.5.2 ( Google Play 版)内置后门代码,会在用户不知情的情况下收集所有已登录账号的手机号,并通过 Inline Query 外传至开发者控制的 Bot (@nekonotificationbot )。
后门代码位于 Extra.java (混淆后为 uo5 ),核心逻辑:遍历 8 个账号槽位 → 提取 UserID 与手机号 → 拼接密钥后以 Inline Query 发送。所有关键字符串均经自定义加密混淆。
该后门仅存在于编译发布的 APK 中,GitHub 公开源码中的对应文件为无害占位。经独立反编译对比验证,从源码自行编译的版本不含上述后门组件。
开发者回应称 Bot 仅用于"解析用户名",但代码中明确提取了 phone 字段并使用无痕传输方式,与其说辞不符。
source https://t.me/c/1504594185/280820
安全研究人员发现第三方 Telegram 客户端 Nekogram 12.5.2 ( Google Play 版)内置后门代码,会在用户不知情的情况下收集所有已登录账号的手机号,并通过 Inline Query 外传至开发者控制的 Bot (@nekonotificationbot )。
后门代码位于 Extra.java (混淆后为 uo5 ),核心逻辑:遍历 8 个账号槽位 → 提取 UserID 与手机号 → 拼接密钥后以 Inline Query 发送。所有关键字符串均经自定义加密混淆。
该后门仅存在于编译发布的 APK 中,GitHub 公开源码中的对应文件为无害占位。经独立反编译对比验证,从源码自行编译的版本不含上述后门组件。
开发者回应称 Bot 仅用于"解析用户名",但代码中明确提取了 phone 字段并使用无痕传输方式,与其说辞不符。
source https://t.me/c/1504594185/280820
 |
1
sddyzm 23 小时 55 分钟前  1
炸了
|
 |
2
sf 23 小时 42 分钟前 via Android
生活为何如此艰难
|
 |
3
objectgiga 22 小时 32 分钟前
作者表示你爱用不用,回头数据指不定就卖给社工库了
在群里大放厥词 NekoChat/620712 |
 |
4
nc 22 小时 25 分钟前
只能说是验证 Chinese Spyware 刻板印象了
PS. GitHub Issues 已经开始了: https://github.com/Nekogram/Nekogram/issues/336 |
 |
5
zlhsvc 22 小时 16 分钟前
炸了,现在是不是只能用官方客户端了
|
 |
6
ntedshen 21 小时 51 分钟前
|
 |
7
kuse2001 14 小时 53 分钟前 via Android
曾经用过很久,后来发现疯狂往一个奇怪地址发包,就觉得不靠谱。换官方了
|
 |
8
fang5566 14 小时 11 分钟前
已经确认了 neko 有问题,neko 的 tg 群在疯狂删消息,限制发消息和 ban 质疑的用户。neko 是最大的第三方 tg ,很多其他改版的都是基于 neko 的。还是换客户端吧,不知道我用的 nagramx 有没有问题。cherrygram 已经确认是没有问题的了。
|
 |
9
strobber16 13 小时 39 分钟前 via Android
已经发了的换客户端有啥用。怕不是这货已经被国安招安了,只要是用+86 注册并使用 neko 登陆过的,都能从帐号定位到肉身。
|
 |
10
misaka0x34ca 13 小时 37 分钟前
|
|
11
misaka0x34ca 13 小时 34 分钟前
|
|
12
misaka0x34ca 13 小时 31 分钟前
验证 PoC: https://github.com/RomashkaTea/nekogram-proof-of-logging
开发者承认传输了手机号: https://t.me/NekoUpdates/531 |
 |
13
sir283 13 小时 15 分钟前
不喜欢用这种第三方客户端,逃过一难。。。
|
 |
14
dumbass 13 小时 4 分钟前
只用过 nicegram 和 swiftgram
|
 |
15
cirzear 13 小时 0 分钟前
tg 用第三方的是有啥特殊功能么,感觉官方的完全够用呢
|
 |
16
bitxeno 12 小时 54 分钟前
这部分代码没开源,怎洗也说不清
|
 |
17
nVoxel 12 小时 52 分钟前 via Android
网络类软件,cn 的还是算了吧。不是技术问题是理念问题
|
 |
18
zhmouV2 12 小时 43 分钟前
国内的 app 有时候会用改版比如 贴吧 Lite (当然现在停更了) 但是 telegram 本身已经设计的很好了 一般没必要用改版吧
这种破事儿也是天天发生,比如 tg 原来的中文包社区不再维护了(这个版本我记得就是 telegram 刚卖会员那会儿,翻译还整活儿在会员页面用“你所热爱的就是你的生活”来调侃) 而现在搜索中文包,其中人数最多的频道会引流到一个 bot ,这个 bot 居然 tm 会找你要电话号码。 https://imgur.com/a/RNB4asz 还是用官方 url 吧: https://t.me/setlanguage/zh-hans-beta |
 |
19
wat4me 12 小时 40 分钟前
我觉得电报官方软件挺好用的,魔改客户端就会有风险
|
 |
20
zheke520 12 小时 38 分钟前 via Android
我去,我之前用过这个,而且用了很久……
|
 |
21
Kobayashi 12 小时 34 分钟前 via Android
tehcneko(又名 Nekolnverter 、AliSummer 、猫耳逆变器、猫又逆变器等)
向 EdXposed 代码中提交 rm -rf https://www.v2ex.com/t/672547#r_8981454 |
 |
22
smqy2314 11 小时 26 分钟前
作者是有前科的 不要碰它的东西
|
|
23
zheke520 10 小时 2 分钟前 via Android
turrit 这个第三方有没有这个漏洞?
|
 |
24
sicifus 9 小时 44 分钟前
这作者真 tmd 有病吧,
不好意思没控制住爆粗口 |
 |
26
tyzrj766 6 小时 51 分钟前
TG 感觉没必要用什么第三方客户端,之前用了几个主要是就是中英翻译比官方的效果好和自定义几处外观,其他和官方几乎都一样,而且代码都是从官方上游继承来的,官方客户端有的 BUG ,第三方一样不落都会有。
|
Select Language