Channel Корисності для Ґаджетів 🇺🇦 - @korysnosti - №2783
✈️ В сторонніх клієнтах Телеграм знайшли бекдори!• У Nekogram знайшли бекдор, який передає розробнику інформацію про зв'язок облікового запису з номером телефону користувача. Бекдор схований у файлі Extra(.)java (причому у публічному репозиторії проекту цей файл виглядає інакше). Схема працює так: обфускований код передає дані через інлайн-запит боту @ nekonotificationbot, практично не залишаючи слідів. А якщо у додатку підключені декілька акаунтів, розробник легко дізнається, що всі вони пов'язані між собою. Версія з Google Play теж має цей шкідливий код. Розробник визнав існування бекдору і показав оригінальний файл зі словами "І що?"• В Cherrygram також знайшли бекдор.Клієнт використовує Firebase для таємного зливу користувацьких даних. Код збирає ваш Telegram ID, активний логін та номер телефону, а потім відправляє все це під виглядом стандартної аналітичної події з назвою "cg_p_share_info". Це класична витік даних, замаскована під просту телеметрію додатка.
Розробник Cherrygram повідомив, що не використовував той код насправдіТобто навіть якщо у вас прихований номер в налаштуваннях, розробники застосунків все одно зливають номери з акаунтів і умовні боти, як от "Око Бога", потім продають цю інформацію і дозволяють деанонімізувати вас.
🤔 Залишається відкритим питання: чи немає подібних "сюрпризів" у форках, таких як AyuGram, ExteraGram та інших клієнтах? Проблема в тому, що вихідний код альтернативних клієнтів не оновлюється роками, а викладаються тільки скомпільовані готові застосунки. Тому код ніхто не перевіряє, а бекдори знаходяться випадково в декомпільованих версіях.
До речі, Телеграм тепер буде помічати акаунти, які користуються альтернативними (сторонніми) клієнтами. У профілях користувачів таких сторонніх застосунків буде зʼявлятися нове попередження про ризик безпеки.❓ Ви користуєтесь офіційним клієнтом чи стороннім?📱 Корисності для Ґаджетів 🙏 Будемо вдячні за:⚡️ Заряджання каналу ⭐️🫶 Запрошення друзів 🫶#backdoor #security
5810
26-04-03 09:01