IT-специалист, изучивший исходный код Nekogram, заявил о наличии скрытого бэкдора в приложении. По его словам, неофициальный клиент Telegram может собирать данные о пользователях.
Подозрительная функциональность обнаружена в файле Extra.java, который отличается от версии, размещённой в официальном репозитории. В коде присутствует обфусцированный механизм, отправляющий пользовательские данные через inline-запросы боту @nekonotificationbot, что позволяет скрыть следы активности. В том же файле реализованы инструменты для проверки аккаунтов через сторонние боты — предположительно, полученная информация может использоваться для пополнения их баз данных. Также эксперт отметил, что разработчик клиента может получать сведения о связях между несколькими аккаунтами и номером телефона пользователя.
Позже разработчик клиента Nekogram в своём чате фактически подтвердил подозрительную активность приложения, заявив, что после определения связки аккаунта с номером телефона информация действительно отправлялась в его бот. Какие-либо объяснения он не предоставил. При этом автор клиента утверждает, что не хранил и не передавал данные третьим лицам. Один из сервисов-«пробивов» аккаунтов подтвердил взаимодействие с Nekogram. В частности, создатели бота TgDB сообщили, что Nekogram использует его в автоматическом режиме для поиска данных.
В ранних версиях Nekogram функции деанонимизации применялись преимущественно к китайским номерам. Вероятно, со временем их действие могло быть расширено на более широкую аудиторию.
Источник: trashbox.ru