Nekogram 被指在发布版中嵌入未公开代码,涉账号与手机号关联信息
4月2日,俄罗斯媒体 SOTA 报道称,一名分析 Nekogram 发布版代码的 IT 研究者指控,这款第三方 Telegram 客户端在未公开的 Extra.java 中加入了额外逻辑,可能通过对 @nekonotificationbot 的 inline query 发送“账号与手机号的关联信息”以及多账号关联数据。
第三方 Telegram 客户端 Nekogram 在 GitHub 上出现新的安全指控。Issue #336 的发布者称,其对官方发布 APK 的逆向分析显示,客户端可能会在正常使用过程中收集账号对应的手机号与 user ID,并通过 inline bot 请求发送给 @nekonotificationbot。该帖还点名样本为 Nekogram-12.5.2-6597-arm64-v8a.apk,并附上反编译代码、常量解混淆结果及视频链接。
sota
issues
4月2日,俄罗斯媒体 SOTA 报道称,一名分析 Nekogram 发布版代码的 IT 研究者指控,这款第三方 Telegram 客户端在未公开的 Extra.java 中加入了额外逻辑,可能通过对 @nekonotificationbot 的 inline query 发送“账号与手机号的关联信息”以及多账号关联数据。
第三方 Telegram 客户端 Nekogram 在 GitHub 上出现新的安全指控。Issue #336 的发布者称,其对官方发布 APK 的逆向分析显示,客户端可能会在正常使用过程中收集账号对应的手机号与 user ID,并通过 inline bot 请求发送给 @nekonotificationbot。该帖还点名样本为 Nekogram-12.5.2-6597-arm64-v8a.apk,并附上反编译代码、常量解混淆结果及视频链接。
sota
issues
