原文
https://thebadinteger.github.io/nekogram-phone-exfiltration/安全研究人员发现第三方 Telegram 客户端 Nekogram 12.5.2 ( Google Play 版)内置后门代码,会在用户不知情的情况下收集所有已登录账号的手机号,并通过 Inline Query 外传至开发者控制的 Bot (@nekonotificationbot )。
后门代码位于 Extra.java (混淆后为 uo5 ),核心逻辑:遍历 8 个账号槽位 → 提取 UserID 与手机号 → 拼接密钥后以 Inline Query 发送。所有关键字符串均经自定义加密混淆。
该后门仅存在于编译发布的 APK 中,GitHub 公开源码中的对应文件为无害占位。经独立反编译对比验证,从源码自行编译的版本不含上述后门组件。
开发者回应称 Bot 仅用于"解析用户名",但代码中明确提取了 phone 字段并使用无痕传输方式,与其说辞不符。
source
https://t.me/c/1504594185/280820这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
https://www.v2ex.com/t/1203196
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.