LoopDNS资讯播报
Nekogram 被指在发布版中嵌入未公开代码,涉账号与手机号关联信息 4月2日,俄罗斯媒体 SOTA 报道称,一名分析 Nekogram 发布版代码的 IT 研究者指控,这款第三方 Telegram 客户端在未公开的 Extra.java 中加入了额外逻辑,可能通过对 @nekonotificationbot 的 inline query 发送“账号与手机号的关联信息”以及多账号关联数据。 第三方 Telegram 客户端 Nekogram 在 GitHub 上出现新的安全指控。Issue #336…
Nekogram 开发者承认手机号被发送至 Bot,但否认存在存储行为Nekogram 开发者公开回应称,
用户号码确实曾被发送到指定 Bot,但坚称这些数据“没有被存储,也没有与任何人共享”。同时,开发者还放出了相关组件源码 Extra.java,试图说明其实现逻辑。
不过,外界对比公开源码与 APK 实际编译版本中的混淆代码后发现,两者并不完全一致。分析指出,公开的
Extra.java 虽然确认了号码同步到 Bot 的流程,但删除了实际构建版本中疑似用于解析和回传手机号的相关逻辑。也就是说,开发者公开的代码更像是一个“清理过”的版本,无法完整对应已发布程序中的真实行为。
