Telegram için geliştirilen üçüncü parti istemcilerden Nekogram, ciddi bir güvenlik iddiasıyla gündemde. Yapılan teknik incelemelere göre uygulamanın Android sürümünde, kullanıcıların telefon numaralarını habersiz şekilde toplayıp dışarı aktaran bir arka kapı bulunduğu öne sürülüyor. Üstelik bu davranışın yalnızca modifiye edilmiş sürümlerde değil, doğrudan dağıtılan resmi APK dosyalarında ve Google Play üzerinden yayınlanan versiyonda da yer aldığı iddia ediliyor.
Konu, uygulamanın release sürümleri üzerinde yapılan tersine mühendislik çalışmalarıyla ortaya çıktı. İncelemeyi yapan geliştiriciler, kodların büyük ölçüde gizlenmiş (obfuscation) olmasına rağmen belirli bir fonksiyonun dikkat çekici şekilde çalıştığını belirtiyor. Buna göre uygulama, cihazda açık olan Telegram hesaplarını tarayarak kullanıcı ID ve telefon numarası bilgilerini topluyor. Elde edilen veriler daha sonra JSON formatına dönüştürülerek bir Telegram botu aracılığıyla dış bir kaynağa gönderiliyor.
İddialara göre veri aktarımı sırasında Telegram’ın “inline bot” sistemi kullanılıyor. Bu yöntem sayesinde veri gönderimi kullanıcıya herhangi bir bildirim göstermeden, sohbet geçmişine yansımadan arka planda gerçekleşebiliyor. Teknik analizlerde, verilerin “@nekonotificationbot” isimli bir bota iletildiği de belirtiliyor.
Olayın en dikkat çeken yönlerinden biri ise açık kaynak kod ile dağıtılan uygulama dosyaları arasındaki fark. Araştırmayı yapan kişiler, GitHub üzerinde paylaşılan kaynak kodlarda bu veri toplama mekanizmasına rastlanmadığını, ancak yayınlanan APK dosyalarında bu kodun bulunduğunu ifade ediyor. Bu durum, zararlı kodun derleme (build) sürecinde sonradan eklenmiş olabileceği ihtimalini gündeme getiriyor.
Sızdırıldığı iddia edilen veriler arasında kullanıcıların telefon numaraları ve bu numaralarla ilişkilendirilmiş Telegram kullanıcı ID’leri yer alıyor. Bu da özellikle gizliliğe önem veren kullanıcılar açısından ciddi bir risk anlamına geliyor. Birden fazla hesabın aynı cihazda kullanılması durumunda, tüm hesapların bilgilerinin tek seferde toplanabildiği de belirtiliyor.
Konuyla ilgili henüz uygulama geliştiricilerinden resmi bir açıklama yapılmış değil. Ancak iddiaların doğrulanması halinde, olayın basit bir güvenlik açığından öte, doğrudan kullanıcı verilerinin izinsiz toplanması anlamına geldiği değerlendiriliyor.
Uzmanlar, bu tür durumlarda kullanıcıların resmi ve güvenilir uygulamalara yönelmesini öneriyor. Özellikle alternatif istemcilerde, açık kaynak iddiasına rağmen dağıtılan dosyaların her zaman birebir aynı olmayabileceğine dikkat çekiliyor. Şu aşamada Telegram’ın resmi uygulaması dışındaki seçenekleri kullananların temkinli olması gerektiği ifade ediliyor.
Kaynak: https://thebadinteger.github.io/nekogram-phone-exfiltration/
Konu, uygulamanın release sürümleri üzerinde yapılan tersine mühendislik çalışmalarıyla ortaya çıktı. İncelemeyi yapan geliştiriciler, kodların büyük ölçüde gizlenmiş (obfuscation) olmasına rağmen belirli bir fonksiyonun dikkat çekici şekilde çalıştığını belirtiyor. Buna göre uygulama, cihazda açık olan Telegram hesaplarını tarayarak kullanıcı ID ve telefon numarası bilgilerini topluyor. Elde edilen veriler daha sonra JSON formatına dönüştürülerek bir Telegram botu aracılığıyla dış bir kaynağa gönderiliyor.
İddialara göre veri aktarımı sırasında Telegram’ın “inline bot” sistemi kullanılıyor. Bu yöntem sayesinde veri gönderimi kullanıcıya herhangi bir bildirim göstermeden, sohbet geçmişine yansımadan arka planda gerçekleşebiliyor. Teknik analizlerde, verilerin “@nekonotificationbot” isimli bir bota iletildiği de belirtiliyor.
Olayın en dikkat çeken yönlerinden biri ise açık kaynak kod ile dağıtılan uygulama dosyaları arasındaki fark. Araştırmayı yapan kişiler, GitHub üzerinde paylaşılan kaynak kodlarda bu veri toplama mekanizmasına rastlanmadığını, ancak yayınlanan APK dosyalarında bu kodun bulunduğunu ifade ediyor. Bu durum, zararlı kodun derleme (build) sürecinde sonradan eklenmiş olabileceği ihtimalini gündeme getiriyor.
Sızdırıldığı iddia edilen veriler arasında kullanıcıların telefon numaraları ve bu numaralarla ilişkilendirilmiş Telegram kullanıcı ID’leri yer alıyor. Bu da özellikle gizliliğe önem veren kullanıcılar açısından ciddi bir risk anlamına geliyor. Birden fazla hesabın aynı cihazda kullanılması durumunda, tüm hesapların bilgilerinin tek seferde toplanabildiği de belirtiliyor.
Konuyla ilgili henüz uygulama geliştiricilerinden resmi bir açıklama yapılmış değil. Ancak iddiaların doğrulanması halinde, olayın basit bir güvenlik açığından öte, doğrudan kullanıcı verilerinin izinsiz toplanması anlamına geldiği değerlendiriliyor.
Uzmanlar, bu tür durumlarda kullanıcıların resmi ve güvenilir uygulamalara yönelmesini öneriyor. Özellikle alternatif istemcilerde, açık kaynak iddiasına rağmen dağıtılan dosyaların her zaman birebir aynı olmayabileceğine dikkat çekiliyor. Şu aşamada Telegram’ın resmi uygulaması dışındaki seçenekleri kullananların temkinli olması gerektiği ifade ediliyor.
Kaynak: https://thebadinteger.github.io/nekogram-phone-exfiltration/
