529 подписчиков
Nekogram и возможная утечка данных: анализ бэкдора в неофициальном клиенте Telegram
Вокруг неофициального клиента Nekogram появилась серьёзная обеспокоенность после публикаций о возможном бэкдоре, позволяющем передавать чувствительные данные пользователей разработчику. Речь идёт о связи аккаунта Telegram с номером телефона, а также о корреляции нескольких аккаунтов одного пользователя.
Согласно анализу кода, подозрительная логика находится в файле Extra.java. Примечательно, что версия этого файла в публичном репозитории проекта отличается от той, что обнаружена в собранном клиенте. Это уже само по себе является тревожным сигналом, так как нарушает принцип прозрачности open-source: исполняемый код не соответствует опубликованному исходному.
Внутри файла обнаружен обфусцированный участок кода, который отправляет данные через механизм inline-запросов Telegram-боту @nekonotificationbot. Такой способ передачи выбран не случайно: inline-запросы не оставляют очевидных следов в истории сообщений пользователя, что усложняет обнаружение утечки. По имеющимся данным, передаваемая информация может включать:
* связь ккаунта с номером телефона;
* идентификаторы пользователя;
* данные о нескольких аккаунтах, используемых на одном устройстве.
Последний пункт особенно критичен: если пользователь использует несколько Telegram-аккаунтов, разработчик клиента потенциально получает возможность связать их между собой, что напрямую нарушает анонимность.
Дополнительно в том же файле реализованы механизмы взаимодействия с рядом сторонних ботов, которые, как предполагается, могут использоваться для «пробива» аккаунтов — поиска дополнительной информации по идентификаторам. Это может указывать на более широкую экосистему сбора и обогащения данных.
Отдельное внимание привлекает тот факт, что ранние версии клиента, по сообщениям исследователей, применяли подобную логику преимущественно к китайским номерам. Это может указывать на изначально целевое применение, однако в текущих версиях поведение, как утверждается, распространяется на всех пользователей без исключения.
Автор проекта связывается с аккаунтом Fang Li, которому ранее приписывали участие в спорных активностях в сети, включая DDoS-атаки и агрессивное поведение. Хотя эти утверждения требуют независимой проверки, они усиливают обеспокоенность вокруг доверия к клиенту.
Важно понимать, что Telegram использует собственный протокол MTProto, который в официальных клиентах не передаёт номер телефона третьим сторонам без явного взаимодействия пользователя. Однако любые модифицированные клиенты могут внедрять дополнительную логику поверх этого протокола, включая скрытую отправку данных.
На фоне этих событий Telegram начал внедрять механизмы уведомления, предупреждающие пользователей, если их собеседник использует неофициальный клиент. Это косвенно подтверждает растущую проблему безопасности сторонних сборок.
В более широком контексте ситуация с Nekogram перекликается с другими кейсами, например клиентом «Telega», где обсуждались риски перехвата трафика через стороннюю инфраструктуру. Общая тенденция очевидна: неофициальные клиенты становятся точкой риска, так как пользователь фактически доверяет им доступ ко всей своей переписке и метаданным.
Вывод
Даже при открытом исходном коде использование сторонних клиентов Telegram остаётся потенциально опасным, если:
* бинарные сборки не соответствуют репозиторию;
* код обфусцирован и не поддаётся аудиту;
* используются скрытые механизмы передачи данных.
В случае с Nekogram признаки такого поведения, по опубликованным данным, присутствуют.
Рекомендации
* использовать только официальный клиент Telegram;
* завершить активные сессии в настройках безопасности;
* избегать установки APK из сторонних источников;
* проверять соответствие исходного кода и сборок при использовании open-source приложений.
⬇️Поддержать автора⬇️
✅SBER: 2202 2050 1464 4675
3 минуты
2 апреля