🛡️ 安全预警:Nekogram 被指存在“供应链后门”,第三方客户端还值得信任吗?

近日,一则来自 X 平台(@sotanews)的爆料在 Telegram 技术圈引发了巨大争议。非官方客户端 Nekogram 被指在构建分发环节植入恶意代码,这再次为追求“增强功能”的用户敲响了警钟。

🎬 视频教程

🔍 核心指控:消失的“Extra.java”

根据目前的公开讨论及技术分析,核心指控如下:

  • 构建注入:开发者在公开的 GitHub 源码中仅提供了一个 Extra.java.example 模板,但在分发的 APK 二进制文件中,注入了未公开的 Extra.java 代码。
  • 隐私窃取:该隐藏代码被指会默默收集用户的 Telegram 账号 ID 与手机号 的对应关系,并通过 Telegram bot 秘密回传给开发者。
  • 身份隔离破坏:许多用户使用 Telegram 是为了实现多身份隔离。如果该后门属实,它能将你名下的多个账号进行关联(Doxing),直接摧毁你的隐私屏障。

⚡ 为什么这比一般的 Bug 更严重?

这不仅仅是一个功能问题,而是典型的供应链攻击式后门

  1. 绕过社区审查:利用“开源”的外壳赢得信任,却在二进制构建环节动手脚,导致代码审计失去意义。
  2. 开发者信用破产:结合爆料中提到的开发者过往争议行为及敷衍的回应,其“仅用于统计”的辩解在隐私安全红线面前显得极其苍白。
  3. 官方已发警告:Telegram 官方一直对非官方客户端持谨慎态度,甚至会向使用此类工具的用户发出安全提醒。

💡 我们的建议:安全至上,回归原生

在之前的多篇Telegram 教程中,曾多次提醒不建议使用第三方的软件

针对此次事件,建议:

  1. 立即停用并卸载:如果你正在使用 Nekogram,尤其是涉及敏感信息或多账号操作,建议立即更换。
  2. 清理活动会话:在官方客户端的 设置 -> 设备 中,点击“终止所有其他会话”,强制登出非官方工具。
  3. 坚持使用官方/可靠源:首选 Telegram 官方客户端

📖 想要了解更可靠的 Telegram 使用姿势?

如果你对 Telegram 的账号安全、防封策略或高级玩更有兴趣,欢迎阅读我们之前的深度解析:

👉 阅读全文:【2026】Telegram 注册及使用最全攻略 | 跳过短信收费 | 汉化 | 防封保号 | 高级会员订阅

提醒:本文所述爆料主要源自社交媒体及社区分析,尚未有最终法律定论,仅作为安全提醒。在隐私通讯领域,我们始终坚持“宁可信其有”的防御性原则。