АНАЛИЗ БЕЗОПАСНОСТИ ОТ ИИ:
Это декомпилированный код из одифицированного клиента ТГ, и он делает следующее:
Метод `logPhoneNumbers()` (оригинальное имя `g()`):
1. Проверяет флаг `l` — если уже выполнялся, выходит (`return`). Иначе ставит `l = true`, чтобы сработать только один раз.
2. Собирает до 8 контактов из списка (`for i = 0; i < 8`), извлекая из каждого `user.id` и `user.phoneNumber`, и складывает их в `HashMap<String, String>`.
3. Формирует строку запроса:
- некий хэш/токен из `lj4.a(-7227028227871466228L)` — скорее всего, декодирует обфусцированную строку (идентификатор или разделитель)
- `cb0.c.toJSON(hashMap)` — сериализует собранные ID и номера телефонов в JSON
4. Отправляет всё это как inline-запрос боту `@nekonotificationbot` через `InlineBotHelper.query(...)`.
По сути это шпионский код (spyware). Он ворует номера телефонов и user ID контактов пользователя и тихо отправляет их стороннему боту под видом обычного inline-запроса. Inline-запросы не видны пользователю в интерфейсе, поэтому утечка происходит незаметно.
Если ты встретил это в каком-то форке ТГ (Nekogram, или что-то подобное) — это серьёзный красный флаг, стоит немедленно удалить такой клиент.
Кто автор? Хохол?
скорее всего спонсоры ботов типо "ГЛАЗ-БОГА", которые за деньги дают им свои сливы
> ГЛАЗ-БОГА
ШЕРЛОК, например, хохлятский бот.
ну разницы нет особо, в любом случае хуйня
Вот вам и открытый исходный код
Ну так нашли же, как раз благодаря тому, что код открыт.
Нашли не в открытом исходном коде, а в декомпилированном приложении вообще-то.
Обфускация это дефолт для билдов так что на это акцентировать не имеет смысла. Достаточно просто того что код в репе и тот из которого собран релиз разный
NEKOgram, сейчас пропихивают клиент для прокси NEKObox
>КЛИЕНТ TELEGRAM
Но нахуя? И главное зачем?
каков icq тех кто ставит не официальные приложения и надеется на приватность? может вы ещё вместо тор браузера сборочку от васяна ставите?
CКАЧАЛ СБОРКУ ТОР С СЕРТИФИКАТАМИ ФСБ ДЛЯ БЕЗОПАСНОСТИ
@
КЛИЕНТ I2P С ВСТРОЕННЫМ ПРОКСИ ОТ ЯНДЕКСА
@
ТОРРЕНТ-КЛИЕНТ ОТ ВКОНТАКТЕ СО ВСТРОЕННОЙ СИСТЕМОЙ ГЕОЛОКАЦИИ ДЛЯ ПОИСКА ДРУЗЕЙ
В нынешние времена вообще легче интернетом и социальными сетями не пользоваться, потому что каждый стремиться где-нибудь да обмануть пользователя.
А что случилось?
> ОЧЕРЕДНОЙ "КЛИЕНТ TELEGRAM" ОКАЗАЛСЯ ШПИОНСКОЙ ЗАЛУПОЙ #1
А теперь пруфани, что официальныйTM клиент никому и ничего не сливает.
Почитал issues, кекнул
Вся суть впопенсурса, пердоли ща взлёрнуца.
ШВАБОДКА ЛИНУКС БЕЗОПАСНО НЕТ АНАЛЬНЫХ ЗОНДОВ ПОПЕНСУРС ВЕНДЕКАПЕЦ ПРОТОН АНДРОИД КОКОКОКОКОК
>Неофициальный клиент
>Сливает данные.
Ты че ебанутый сука?
Поэтому я и всегда говорил - либо самому собирать, либо хотя бы в f-droid качать. Хотя этого Nekogram даже нет в f-droid.
Да, в f-droid довольно пристально смотрят за тем что публикуют. Хотя и туда, думаю, тоже что-нибудь да попадает.
Нахуя жрать гавно, если есть foss форк?
ИИ-дебил возомнил себя великим хацкером, просто высрав копипасту от гэпэтэшки
Оыициальный опенсурс?
Где гарантия что и там где-нибудь не заныкано непонятно что?
>УИИИИ ВРЕТИ
терпи.
Ты немного не понимаешь их политику. Они как раз не следят за кодом. Суть в том, что они собирают из исходников. Соответственно такой вещи как говно в бинарниках релизных от автора как на ОПпике не будет если конечно доверять f-droid
Так что это как раз контрит пикрил хуйню. Если в апстриме говно зальют в код они ничего не сделают.
АДМИН ТГ ГРУППЫ NEKOGRAM ОКАЗАЛСЯ РУСОФОБОМ И ЛИБЕРАХОЙ, СЛИВАЮЩИМ ДАННЫЕ
БАНИТ ЗА ЛЮБЫЕ НЕУДОБНЫЕ ПОСТЫ
Никогда такого не было и вот опять
Гарантия может быть только одна - сам читаешь исходники, на крайняк в клауди опуса кидаешь. Сам собираешь. Сам мониторишь коммиты, депенденси. Остальное держится на доверии и репутации.
Официальный клиент
>ОЧЕРЕДНОЙ "КЛИЕНТ TELEGRAM" ОКАЗАЛСЯ ШПИОНСКОЙ ЗАЛУПОЙ
>Неофициальный клиент Nekogram сливает номера телефонов
ЗАТО ОН НЕ СЛИВАЕТ ЕГО ФСБ!!! ОПАСАТЬСЯ НЕЧЕМУ!!!
Fdroid собирает же сам
Весь тред про впопенсурс.
Админ ХОХОЛ???
Многоходовочка
Вообще-то да, если речь о клиенте.
Ну так собирай из исходников сам, трясун.
Зачем пользоваться неофициальными версиями? Объясните мне.
Напомните, зачем кто-то пользуется не официальным клиентом?
Ну я
что ты?
Ахахаха, лучше подтверждение уровня ICQ тех, кто пользуется неофициальным ПО.
Сам не пользуюсь, но, насколько знаю, в неофициальных есть всякие фичи, наподобие сохранения контента из групп, где это запрещено.
В том же телеграм Х (хоть он и официальный) есть удобные фичи, например, можно посмотреть все сообщения в группе от конкретного пользователя. Правда, в нем нет некоторых банальных фич стандартного клиента, например, топиков в группах.
Короче, неофф клиенты предоставляют доп фичи.
Китаец
Вот ещё инфы:
t.me/sotaproject/111209
t.me/monogram_android/71
t.me/NekoUpdates/531
И что оно только связку айди-номер пиздит? Автор, лох, получается, бездарно проебал ботнет.
Блокировки обходит путём проёба своих данных
Всмвслемпроебал, лохи как качали так и качают миллионами
А толку? Номера собрать? И что дальше?
Там либо есть полноценный функционал ботнета, который пока не нашли, либо автор лох.
Да чё им уже рыпаться, уже слили же
У меня все номера подставные, похуй.
О слежке переживают только те кому есть что скрывать — преступники.
Любители запрещённых (есть страны где легальны) жанров хентая, ютуба MMD R-18 и прочей ЛГБ-ЁПРСТ пропаганды. Почему бы вам просто не эмигрировать туда где ваши увлечения легальны (законны)?
Законопослушным гражданам скрывать нечего. Или у вас есть надежда что будет легализация хентая? Тут не легализация хентая. А знаешь что тут? Знаешь ли будущие, устройство миропорядка и то как следует себя вести исходя из этого?
Кстати если государство озаботится выявлением и наказанием преступников обходящих блокировки это будет логично. Будет ли логично если государство озаботится выявлением и наказанием сохранивших противоправный контент?
Любители запрещённых (есть страны где легальны) жанров хентая, ютуба MMD R-18 и прочей ЛГБ-ЁПРСТ пропаганды. Почему бы вам просто не эмигрировать туда где ваши увлечения легальны (законны)?
Законопослушным гражданам скрывать нечего. Или у вас есть надежда что будет легализация хентая? Тут не легализация хентая. А знаешь что тут? Знаешь ли будущие, устройство миропорядка и то как следует себя вести исходя из этого?
Кстати если государство озаботится выявлением и наказанием преступников обходящих блокировки это будет логично. Будет ли логично если государство озаботится выявлением и наказанием сохранивших противоправный контент?
Бот, спокуху.
Ммм, найс. Говняк в открытом по. Не зря я трясусь качая с гитхаб, выходит
В исходном коде самом говняка нет, он уже в апкшки вшивал его и релизы итоговые (включая плей маркет)
Как это работает? Вот есть релиз на гитхаб, сурс и apk. В apk вообще что угодно загружать можно и всем похуй?
Я для своих в-попу-сурсов настроил GitHub Actions, который билдит мне всё говно, считает SHA256 для бинарников и выплёвывает их как артефакт. Все остальные подходы и правда хуйня какая-то непрозрачная. Вот есть сурс, окей, а кто сказал, что этот сурс вообще используется для билда?
Уже выяснил у ии. Лол, так и есть
>остальные подходы и правда хуйня
База
>GitHub Actions
В идеале теперь ещё чтоб сам автор релизы скомпилированные через него выкладывал.
Скажи ты сурсы с гитхаба сам компилишь или скачивает уже готовые бинарники? вот вот. Просто кто то догадался собрать эго говно из сурсов и сравнил уже с откомпилированным проектом.
Билды идут из github экшенов? Нет? Ну и собирай тогда сам
Если код на первом пике не обусфикат, то автору надо ломать ебало еще и за кривые руки. Из-за таких пидоров джавистов за говнокодеров и считают. Не удивлюсь, если это говно частично или полностью навайбкожено.
>Калотарка впервые увидела код на выходе с jadx
>Умничает
Неиронично впервые, я таким не пользуюсь.
про Ayugram есть какая-то инфа, он насколько безопасен?
Я слышал что тоже был замешан в подобном.
Тут и слышал. B /b.
>Также в этом же классе имеется упоминания @tgdb_search_bot и @usinfobot
Через них почти во всех клиентах делаются запросы, чтобы смотреть разные приколы типа авторов стикерпака.
Разраб клиента в канале кстати признался что телефоны собирает. Энивей, еба вы дурачки те кто на свои номера что-то регает, вместо покупки индонезийского номера за 10 рублей.
>Энивей, еба вы дурачки те кто на свои номера что-то регает, вместо покупки индонезийского номера за 10 рублей.
This.
/thread
Ayugram норм? Друзья!!
Нахуй вам говноклиенты какие-то со встроенными телевизорами и анальными зондами, блядь? Скачайте и соберите какую-нибудь парашу по типу NekoX и будет вам счастье. Нахуй вы говно всякое ставите, так еще и собранное хуй пойми кем и хуй пойми где? Хуюграм какой-то нашли еще, сук.
Скандалов не было на моей памяти. Сам использую. В любом случае, никакому клиенту нельзя доверять, кроме официального. Тебе даже если разраб говняк не подкинет, они ставятся все через exe и apk, ты же не знаешь, что тебе туда напихали. Вот как в этом клиенте, исходники чистые, а в билде малварь.
Лучше всего на свои личные номера ничего не регать и проблем не будет тогда.
>Скандалов не было на моей памяти
А знаешь почему? Потому что никто и не разбирал его... Тут один захаживал, аргументировал почему этот клиент имеет говняк.
1. https://github.com/AyuGram/AyuGram4A/tree/rewrite/TMessagesProj/src/main/java/com/radolyn/ayugram -- тут папка proprietary при попытке открыть дает 404. Без нее клиент с исходов не собрать.
2. Сурсы на гитхабе не обновлялись уже много лет.
Для меня этих двух тейков уже с головой достаточно чтобы эту парашу не ставить ни при каких условиях.
так вот как раз и плюс что нашли.
а в закрытом коде не нашли бы такого.
возможно и ему тоже сливает, почему нет
А ну... Я только ПК версию использую, на мобиле там нет уведомлений нормальных. А ПК версия обновляется стабильно.
Так сборка то не из исходника. Какая разница какой там код, если собрали из своих, закрытых исходников.
>пропритарная централизованная хуйня
>желать анонимности и отсутствия анальных зондов и слежки.
Шел 2026 год...
>желать анонимности и отсутствия анальных зондов и слежки.
Шел 2026 год...
А нахуя вообще нужен сторонний клиент для телеги? Вы там ебанутые?
Я компилировал для винды через визуал студио, всё норм было. Для десктопа код открытый, закрытый только для андроида. Я думаю по той причине, что у экстеры код закрытый, а он уже делается на основе экстеры (для андроида).
>на мобиле там нет уведомлений нормальных.
FCM же
А что там кекнутого
>Nekogram
В этой хуйне даже норм фич никогда не было, так ещё и спайварем оказалось, чёт в голос.
Ставил давно из f-droid, там воспроизводимые билды, вряд ли с говняком. Не советую пользоваться телеграмом, если нужно, максимум веб версию юзать. Переходите на полностью свободные мессенджеры.
это какие???
>полностью свободные мессенджеры
И сидите там в одиночестве
Жаббер, например.
Будто бы в каломессенджерах мне сразу выделяют друзей.
ЧТО ЕСТЬ ТО ЕСТЬ
ВЕРИМ
> ОЧЕРЕДНОЙ "КЛИЕНТ TELEGRAM" ОКАЗАЛСЯ ШПИОНСКОЙ ЗАЛУПОЙ
Никогда ж такого не было, а тут опять. И главное, если сделать ещё 10, 100 итд шпионских залуп с функцией телеграма, быдло всё так же будет ставить эту шляпу и радоваться, что ловит на парковке.
Сука. Я юзал для удобного перевода (не надо тыкать на каждый пост), уборки всякого ненужного говняка с экрана и возвращение старого охуенного дизайна.
Раньше думал, что гитхаб, опэн сурсность - прям ГАРАНТЫ девственной чистой. Штош, обидно. Наебали ламера. Облапошили.
С другой стороны, чё они сделают с моим фейкрномером-то? Узнают, что какой-то филиппинец подписан на какие-то каналы-аналы?
агрессивный хохол предлагает всем писать свои клиенты
дебилоидина, ты скачал скалпилированный апкшник, хули ты хотел?
Китаец же [email protected]
Ну вообще это может использоваться для сбора статистики. Телефон + ID это вообще ничто. Уж не пользователям ГОЙГРАМА переживать за такую хуйню, когда у них регистрация по телефону вообще, лол.
Но тут и объяснение какое то невнятное и пиздливое. Да и вообще идея ставить кастомный гойграм может только в голову быдлу прийти.
Еще бы проверить как то все эти некобоксы, хидефаи, хаппы и прочее говно. Я уверен что там пидорасы тоже напихали защеку полный вагон залупы.
некобокс скорее всего чист, он миллион лет не обновлялся
>хидефаи
а вот это вероятно подзалупа лютая, короче лучше всего иметь на устройстве как можно меньше клиентов всяких залуп
>Жаббер, например.
Так там нет никого!
>Еще бы проверить как то
Возьми да проверь, в чем проблема?
> Неофициальный клиент Nekogram сливает номера телефонов
Неудивительно, когда к тебе столько народа залетает за халявой - почему-бы и не воспользоваться? При том это реально появилось после обновления - потому-что я тоже скачивал эту херню, но в 2022 году, прост так в плейсторе засветилась - и ничего там такого не было.
И вот кому верить в этом мире?
ТУПОЙ ЗЕЛЕНСКИЙ АААААААААА
Кто бы мог подумать
Нахуя додики ставят какую то левую парашу когда все есть в плеймаркете?
Что есть в плеймаркете?
Пользуюсь nagram x
Перешел когда тупые разрабы насрали в оф клиент всратым забагованым liquid ass, приложением было невозможно пользоваться
Перешел когда тупые разрабы насрали в оф клиент всратым забагованым liquid ass, приложением было невозможно пользоваться
>телеграм сливает ваши данные
Я б ваще его заблочил в стране за такие финты.
>мне на ротан дают
>вкусно)))
А если бы он сливал их Максу. Как тебе такое?
Копрограмм в принципе опасен, не говоря уж о форках. Эта параша сделала очень простым доступ к персональным данным почти любого человека в рфии. Из-за чего собственно кучу людей набутылили, заскамили и кого-то даже убили. Там есть боты которые хранят все твои, даже удаленные, публичные комментарии. Это мессенджер-пидор, не пользуйтесь им. Ну и сообщения там не шифруются ещё
Макс
>Максу
Нету такого хрюкобот, есть только Мах
И в чем он лучше официального? В том что уведомления нормально не будут приходить?
Помянем этого китайца
simplex в конфаче есть ссылка на аниме конфу
Буквально на картинке написано чем, читать научись
>Нахуя жрать гавно, если есть кал?
А может элемент?
О чем ты говоришь вообще, если сам телеграм это шпион с анальной связью с гуглом и яндексом. Он нужен, чтобы корпорации имели быстрый доступ к переписке и тем самым узнавать твои интересы и монетизировать их
Я ТЕБЕ НЕ ВЕРЮ!
Конечно не веришь, ты же просто пользуешься удобным продуктом, не проверяя что под капотом
>регать тг на свой номер
>бэкжорррряяяя!!!11
>бэкжорррряяяя!!!11
>зарегал на таджжик номер
>ряяяя акк угналиииии
На 4хпидорах всё как обычно. Всех кто пытался написать о сливе данных почистили и забанили.
Их борьба?
Их борьба?
Мочух там учудил, конечно. В ужасе вместо переноса сообщений во флудилку просто снёс.
Неофициальный клиент Nekogram сливает номера телефонов
Хоть и у клиента есть GitHub репозиторий (https://github.com/Nekogram/Nekogram) с исходным кодом клиента, но релизные сборки обфусцируются.
В файле Extra.java (который служит для хранения APP_ID, APP_HASH и др...) есть метод который делает Inline запрос боту @nekonotificationbot с вашим номером телефона.
Также в этом же классе имеется упоминания @tgdb_search_bot и @usinfobot
Полный путь до метода в релизной сборке Nekogram 12.5.2-6597-arm-v8a: defpackage.uo5.g()