Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Неофициальный Telegram-клиент Nekogram отправлял номера телефонов боту разработчика"	+/–
Сообщение от opennews (??), 03-Апр-26, 10:44
В неофициальном Telegram-клиенте Nekogram выявлен обфусцированный код, скрыто отправляющий боту "@nekonotificationbot"  номера телефонов пользователей, вошедших в приложение, в привязке к индентификатору пользователя. Изменение для сбора номеров телефонов присутствует только в готовых APK-пакетах, распространяемых через Google Play, GitHub и Telegram-канал проекта. В исходном коде на GitHub и в APK-пакенте  из каталога F Droid собирающее телефоны изменение отсутствует... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=65130
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 03-Апр-26, 10:44	+3 +/–
Ну а вы продолжайте ставить левые Аюграмы, Форкграмы и и прочие Котатограмы. Больше ССЗБ богу ССЗБ !!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #26, #42, #65, #89, #91, #108

2. Сообщение от Аноним (2), 03-Апр-26, 10:52    Скрыто ботом-модератором	+/–
Интересно, откуда автор этого поделия (догадываюсь, но тем не менее)
Ответить | Правка | Наверх | Cообщить модератору

3. Сообщение от ДядяПетя (?), 03-Апр-26, 10:52	+5 +/–
Так вроде открытый код и всё такое... Эх опять надо думать о reproducible builds...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #11

5. Сообщение от Аноним (5), 03-Апр-26, 10:55	+3 +/–
не, ну если не за деньги, значить по службе
Ответить | Правка | Наверх | Cообщить модератору

6. Сообщение от Аноним (6), 03-Апр-26, 10:58	–3 +/–
Вот поэтому: «Telegram планирует начать помечать пользователей неофициальных версий мессенджера» https://vc.ru/telegram/2832300
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #12

7. Сообщение от 12yoexpert (ok), 03-Апр-26, 11:06	+4 +/–
в официальном клиенте они и без обфускации передаются, ничего?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10

10. Сообщение от Аноним (10), 03-Апр-26, 11:10	+8 +/–
Я конечно слежку не одобряю, но справедливости ради - официальный клиент тоже отправляет номера телефонов пользователей разработчику...и не только номера.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

11. Сообщение от Bob (??), 03-Апр-26, 11:12	+3 +/–
>открытый код а кто ревизил? На f-droid всё же норм}
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #28

12. Сообщение от Bob (??), 03-Апр-26, 11:12	+2 +/–
Не планирует - а уже начал. Но упорно игнорит Telega клиент)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

13. Сообщение от Анон1110м (?), 03-Апр-26, 11:13	+4 +/–
Вы не понимаете. Всё это для того чтобы дополнительно обезопасить пользователей. Номера телефонов собирались для проверки на безопасность.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #19

15. Сообщение от kusb (?), 03-Апр-26, 11:15	+/–
Интересно, а возможна ли система безопасности с разграничением прав или основанная на возможностях для исходного кода, которая гарантировала бы, что у этой части кода не будет доступа к номеру.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #97

17. Сообщение от Bob (??), 03-Апр-26, 11:15	+7 +/–
>В исходном коде на GitHub и в APK-пакенте из каталога F Droid собирающее телефоны изменение отсутствует короче - F-Droid рулит, всё)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #22

19. Сообщение от Аноним (6), 03-Апр-26, 11:17	+/–
https://opennet.ru/60636-signal
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #35

21. Сообщение от Аноним (21), 03-Апр-26, 11:23	+2 +/–
>Представители Telegram заявили, что не считают выявленную проблему опасной уязвимостью, так как все загружаемые стикеры предварительно проверяются на серверах Telegram-а и подобная проверка не допустила бы показ пользователям вредоносного стикера. На это можно сострить написав в ответ, что это тогда уязвимость кого надо уязвимость. :)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #24, #34, #38

22. Сообщение от Аноним (22), 03-Апр-26, 11:26	+/–
Конечно, ведь он предоставляет доверенную сборочную инфру.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

24. Сообщение от Аноним (6), 03-Апр-26, 11:30	+/–
Вопрос тогда, кого ? Учитывая что они развернули: 1) https://habr.com/ru/news/1018576/ 2) https://habr.com/ru/news/1018744/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

26. Сообщение от Аноним (26), 03-Апр-26, 11:36	+16 +/–
Ну да, ведь проблема в левых клиентах а не в том что мессенджер за каким-то чертом требует телефон для регистрации. Ведь если юзать официальный клиент - ничего плохого с твоим номером телефона точно не случится.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #29, #41, #43, #72, #81, #86

28. Сообщение от пох. (?), 03-Апр-26, 11:39	–1 +/–
тысячезглаз жеж ! Мамой клянетсо!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #54, #107

29. Сообщение от пох. (?), 03-Апр-26, 11:41	+9 +/–
конечно не случится, он будет надежно храниться на серверах размещенных на территории согласно закону... Под чутким присмотром товарищмайора. И продадут, в общем,  недорого, если брать сразу оптом. А тут какие-то васяны, непойми кому и может даже бесплатно...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

34. Сообщение от Bob (??), 03-Апр-26, 11:49	+/–
Не пали контору) Там Telega клиент от vk нарушает все правила использования, когда сторонние банят за 1-2, и всё чики-поки)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

35. Сообщение от 12yoexpert (ok), 03-Апр-26, 11:49	+/–
скрывать номер телефона от другиx пользователей нафиг не нужно нужно от теx, у кого есть доступ к твоей переписке, в том числе с заявленным якобы сквозным шифрованием
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #96

38. Сообщение от INSANEWAVE (ok), 03-Апр-26, 12:02	+/–
Стикеры? На минуточку у меня лично в телеге прон и НЕполезных стикеров библиотека целая, ничё там не модерируется
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #60

40. Сообщение от Джон Титор (ok), 03-Апр-26, 12:03	+/–
А не подскажите по какой причине в последнее время множество HR стучится и пытается узнать твой Телеграм? Им говоришь что есть другие средства связи, они убегают. Т.е. им именно телеграм нужен, а не работник. В чём особенность? Там какую-то следилку добавили?
Ответить | Правка | Наверх | Cообщить модератору

41. Сообщение от Джон Титор (ok), 03-Апр-26, 12:07    Скрыто ботом-модератором	+1 +/–
> Ведь если юзать официальный клиент - ничего плохого с твоим номером телефона точно не случится. Я знаю как минимум 5 человек среди родственников у которых угнали аккаунт Телеграмм и они использовали все официальный клиент. Так-что вы бред пишете, мне кажется это самый незащищенный мессенджер. У меня лично был один инцидент с очень неприятными лицами, после чего моё доверие к нему упало до нуля.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

42. Сообщение от Аноним (42), 03-Апр-26, 12:09	+1 +/–
Было бы с чем сравнивать. Там и официальный клиент не очень и сервера закрытые и работают не очень и разрабы кривые.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

43. Сообщение от Джон Титор (ok), 03-Апр-26, 12:09	–1 +/–
Я не знаю, разрешено у вас или нет по законам. Попробуйте Signal. Как по мне он несколько лучше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

46. Сообщение от Соль земли2 (?), 03-Апр-26, 12:15	+/–
Интересно, кому так сильно нужна слежка за всеми? В чём смысл за всеми следить? Своей жизни нет? Дом-2 закрыли? Для исследований уже есть Меркофф.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #51

50. Сообщение от Аноним (50), 03-Апр-26, 12:30    Скрыто ботом-модератором	–1 +/–
Официальный клиент тоже дырявый, мне левый бот написал «Привет Сергей Дмитриевич такого-то года рождения, проживающий там-то, у нас твои документы (был приложен скан паспорта в хорошем качестве), если не переведёшь денег — появишься на сайте «СладкиеПопы2026». И уже несколько раз меня добавляли в рекламные каналы инфоцыган, при том что стоит запрет в настройках. Дуров — это всегда про чернуху
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #53

51. Сообщение от Аноним (6), 03-Апр-26, 12:33	+/–
Почитайте «1984» Оруэлла или «Мы» Замятина.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46 Ответы: #55

53. Сообщение от 12yoexpert (ok), 03-Апр-26, 12:38	–1 +/–
так ты на сайте появился? друг спрашивает
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50 Ответы: #57

54. Сообщение от Аноним (54), 03-Апр-26, 12:38	+/–
Там только один из глаз Java знает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

55. Сообщение от 12yoexpert (ok), 03-Апр-26, 12:40	–1 +/–
литературное произведение одного художника тоже отлично описывает то, что происходило и происходит в _этой стране_ последние лет 100
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51 Ответы: #103

56. Сообщение от Аноним (56), 03-Апр-26, 12:48	–1 +/–
> В неофициальном Telegram-клиенте Из текста новости недопонял, зачем нужен неофициальный клиент, если есть официальный.
Ответить | Правка | Наверх | Cообщить модератору

57. Сообщение от пох. (?), 03-Апр-26, 12:48	–2 +/–
> так ты на сайте появился? друг спрашивает так он денег не перевел, а сайт-то платный. так что это теперь к тебе вопрос. Ты-то небось подписку на пять лет оформил?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53

60. Сообщение от iPony128052 (?), 03-Апр-26, 12:55	+/–
Так они не вреднонрсные же. ЗЫ: сам такие рисовал 😐
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

61. Сообщение от Аноним (61), 03-Апр-26, 12:57	+/–
Телеграм признался в то, что они имеют доступ к стикерам, отправляемых пользователями?
Ответить | Правка | Наверх | Cообщить модератору

65. Сообщение от Аноним (65), 03-Апр-26, 13:08	+/–
Нахрен местную ИИ-цензуру, анализирующую тональность сообщений. Коммент прочитаете по ссылке: https://paste.opensuse.org/pastes/d156133c7f17
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

70. Сообщение от Аноним (70), 03-Апр-26, 13:27	+/–
Кому придет в голову зарегать мессенджер на свой реальный номер?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #101, #109

72. Сообщение от Аноним (54), 03-Апр-26, 13:31	+/–
> Ведь если юзать официальный клиент - ничего плохого с твоим номером телефона точно не случится. Но это неточно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

73. Сообщение от Аноним (73), 03-Апр-26, 13:31	+/–
Мне вот интересно, неужели тот  кто реально заботится о своей анонимности юзает телегу и уж тем более какие-то там неофициальные клиенты? По-моему для этого есть другие инструменты
Ответить | Правка | Наверх | Cообщить модератору

74. Сообщение от Аноним (74), 03-Апр-26, 13:31	+/–
Оказывается внедрять бэкдоры куда выгоднее и проще, чем искать уязвимости в старых клиентах, чтобы взломать(условно) пользователя.
Ответить | Правка | Наверх | Cообщить модератору

76. Сообщение от Аноним (76), 03-Апр-26, 13:46	–1 +/–
> Изменение для сбора номеров телефонов присутствует только в готовых APK-пакетах, распространяемых через Google Play, GitHub и Telegram-канал проекта. В исходном коде на GitHub и в APK-пакенте из каталога F Droid собирающее телефоны изменение отсутствует. Кто-то до сих пор пользуется авторскими сборками приложений?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #88

79. Сообщение от robot228 (?), 03-Апр-26, 14:03	+/–
А че статический анализ по ключевым словам не делают нынче?
Ответить | Правка | Наверх | Cообщить модератору

81. Сообщение от Аноним (81), 03-Апр-26, 14:04	+1 +/–
Как минимум, при пользовании официального клиента номер уходит ТОЛЬКО к разработчикам ТГ, а при использовании всяких форков — и разработчикам ТГ и Васяну. Чувствуешь разницу?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

82. Сообщение от Аноним (82), 03-Апр-26, 14:06	+/–
> Неофициальный Telegram-клиент Nekogram отправлял номера телефонов боту разработчика Жду комментарии святой наивности под ником "Устин", который в недавней новости о Monogram не понимал, что приисходит: https://www.opennet.ru/openforum/vsluhforumID3/139635.html#3 Ну что там, чел? Теперь-то хоть дошло?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #104

84. Сообщение от Аноним (88), 03-Апр-26, 14:10	–1 +/–
Эрзац телеметрия в хобби-проекте. В ишью белки-истерички. Пароли не отсылал, контакты и файлы с устройства тоже. А мог бы.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #87

85. Сообщение от Аноним (85), 03-Апр-26, 14:11	+/–
Мышеловка сработала
Ответить | Правка | Наверх | Cообщить модератору

86. Сообщение от Аноним (86), 03-Апр-26, 14:11	+/–
Да, проблема в левых клиентах. Ты покупаешь праворульную машину, ты на это согласен, тебя это устраивает. Потом какой-то левый автосервис ставит ей на крышу огромный фаллический символ. Когда ты спрашиваешь - а какого собственно хрена, он начинает орать "ну да, проблема же во мне, а не в ТОМ ЧТО ТЫ КУПИЛ ПРАВОРУЛЬКУ". Не логично, тебе не кажется? Людей устраивает рега по номеру. Их не устраивает, когда левые клиенты эти номера себе тихонько собирают. Это разные вещи.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

87. Сообщение от 12yoexpert (ok), 03-Апр-26, 14:11	+3 +/–
а мог бы и полоснуть
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #84 Ответы: #93

88. Сообщение от Аноним (88), 03-Апр-26, 14:11	+/–
Разные версии скриптов CI/CD
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76

89. Сообщение от NekoChan (?), 03-Апр-26, 14:14	–1 +/–
То есть тот факт, что любого пользователя могут без труда удалённо поиметь через стикер или ссылку - это так, мелочи жизни, - а китаец с поиском по номерам телефонов - катастрофа года? Опенсорс такой опенсорс...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

91. Сообщение от Аноним (91), 03-Апр-26, 14:21	+/–
Продолжим, пока у официального клиента есть проприетарные зависимости и нет поддержки UnifiedPush.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

93. Сообщение от Аноним (88), 03-Апр-26, 14:24	+/–
Тут дело такое. Код открыт. Лицензия GPL-2.0 никаких гарантий не предоставляет, берешь что дают, как есть. Есть там бритвочка или нет, нельзя узнавать со слов разработчика, нужно определять независимо (своими силами или нанимать кого-то). Вдруг разраб сам того не зная, затащил вредоносную зависимость?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #87 Ответы: #110

96. Сообщение от пох. (?), 03-Апр-26, 14:36    Скрыто ботом-модератором	–1 +/–
> скрывать номер телефона от другиx пользователей нафиг не нужно наш мамкин нечегоскрыватель... > нужно от теx, у кого есть доступ к твоей переписке, в том ты не поверишь... > числе с заявленным якобы сквозным шифрованием ты не поверишь... "во-первых, об этом конечно же не сможет не узнать сам китаец..." и как ни странно, телега один из немногих кто действительно об этом подумал. А не украл у тебя телефонную книжку со всем содержимым, и еще и спам по нему разослал "чего это мы и вас не посчитали?!", отказавшись наглухо работать если ты не рад ей поделиться. ну хозяин понятно в какой стране родился и выжил, а свое он и другим способом возьмет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

97. Сообщение от пох. (?), 03-Апр-26, 14:42	+/–
> Интересно, а возможна ли система безопасности с разграничением прав или основанная на > возможностях для исходного кода, которая гарантировала бы, что у этой части > кода не будет доступа к номеру. возможна конечно, но не в ведроиде. Внезапно, можно было бы просто убрать нафиг апи для доступа к номерам. Оставив ТОЛЬКО возможность сравнить полностью известный номер (чтобы показать что тебе звонит васья) и добавить новый (вася прислал контакт пети). И каллбэк из телефонной книжки с результатом поиска - снова позволяющий только увидеть что ты нашел и больше ничего, сам поиск - целиком на стороне приложения с контактами. А для нормального софта не использующего эти номера вообще - буде такой в отдаленном будущем появится - тегированные поля в контакт-листе без права доступа к чужим тегам. Проблема что владелец ведроида в твоей приватности не заинтересован вот совсем. Чем больше ты ему сольешь тем лучше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

101. Сообщение от пох. (?), 03-Апр-26, 14:55	+/–
> Кому придет в голову зарегать мессенджер на свой реальный номер? с этого места, чювак, давай подробностей. А то я вот после блокировки моего последнего нереального что-то не обнаружил никаких вариантов разжиться новым. Мутные продаваны на ебее мне ничего не доставят, паспортом не вышел (упс) а в китайском я не силен. И вот что удивительно - во ВСЕХ странах где мне посчастливилось разжиться симкой - тоже хотели не только пощупать мой паспорт, но еще и сфоткали его в двадцати ракурсах в бездонные базы хлама. (в Индии еще и отпечаточки будешь сдавать, прям как таджик в РФ) Единственное исключение это тай, но там формально тоже нужен был паспорт и не в каждмо ларьке еще и справились его правильно сфоткать. И те симки одноразовые даже с паспортом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70

103. Сообщение от Джон Титор (ok), 03-Апр-26, 15:00	+1 +/–
Иностранцам это не понять. Когда-то давно был такой человек - Зигмунд Фрейд. И вот он свою науку психологии обосновывал на вещах которые в свое время были весьма необычными. И тогда родилось много шуток вокруг его психологии ещё во времена СССР. И это дошло до абсурда, появилось множество новых матерных слов, которые имеют переносное значение и как правило относятся к мозгам. И в данном случае импотенция вовсе не говорится в прямом смысле, а в плане мозгов. Точно то же относится и к выражениям которые относятся к людям нетрадиционной ориентации - как правило их это вообще не касается. Как правило это касается мозгов и что с ними делают другие. Например может имеется в виду слово задолбали или вы совсем не думаете. Может проблема в том что вы не умеете переводить?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

104. Сообщение от пох. (?), 03-Апр-26, 15:01	+/–
> Жду комментарии святой наивности под ником "Устин", который в недавней новости о > Monogram не понимал, что приисходит: > Ну что там, чел? Теперь-то хоть дошло? что никому верить нельзя, только Паше Дурову можно?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #82

105. Сообщение от Аноним (105), 03-Апр-26, 15:01	+/–
а более популярная (вроде) extera так даже и исходники закрыла с 2023
Ответить | Правка | Наверх | Cообщить модератору

107. Сообщение от Аноним (107), 03-Апр-26, 15:15    Скрыто ботом-модератором	+/–
Тысячеглаз был шоколадный.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

108. Сообщение от Аноним (108), 03-Апр-26, 15:23	+/–
Да, продолжим. Лучше уж телефон отправить какому-то васе, чем смотреть рекламу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

109. Сообщение от Аноним (108), 03-Апр-26, 15:25	+/–
А кому придет в голову добывать левый номер под cpaный мессенджер?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70

110. Сообщение от Аноним (107), 03-Апр-26, 15:40	+/–
Это не так работает. Когда тебя сбивает машина - ты идешь бить морду водителю, а не с окай фейсом слушаешь про "ну тебе не давали гарантий, что не собьют". В опенсорсе так же - ты говоришь, что автор дятел и не надо больше использовать его проекты никакие. Институт репутации.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #93 Ответы: #111

111. Сообщение от Аноним (111), 03-Апр-26, 15:47	+/–
> Когда тебя сбивает машина - ты идешь бить морду водителю И после этого приехавшие менты пакуют уже тебя. Или в больничке из тебя в дополнение достают биту или гаечный ключ. > Институт репутации. Всем по...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #110

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема