Yuki婉梦
#nekogram
一想到用很多用户都在用nekogram
真的很痛心
虽然现在用的是mercurygram
不过现在已经不敢相信第三方客户端了
为什么有人这么坏 
开源还能这么恶心
良心何在!!!
Apr 3 at 6:28pmMoshidon
Show threadKIP/JΛYCHØU ⁂   Apr 3
@Matrix5913 nekogram开发者是国人...数据很大概率是发送给了ccp吧...
Show threadYuki婉梦Apr 3
@admin
唉 真是没想到
开源项目还能玩这个
真是大开眼界
甚至还顺利上架PlayStore了
世风日下
真是世风日下 
不过F-Droid里的app会好点?
看nekogram貌似没在里面上架
你要说ccp干的 倒也合理 起码逻辑能跑通
希望这样的人少沾开源项目 太恶心了
Show threadKIP/JΛYCHØU ⁂   Apr 3
@Matrix5913
我曾经用过nekogram......但是只是轻度尝试,后来一直都用的官方app和Web客户端
Show threadYuki婉梦Apr 3
@admin
太恶心了
我现在用的这个还是第三方客户端 是mercurygram
从f-droid里找的
看好像是个外国人
应该还能靠点谱
不过现在心里也没底啊……
Show threadYuki婉梦Apr 3
@admin
卸载了卸载了
第三方的不敢用了
希望没在我的手机里有什么残留 
Show threada53bdbApr 4
@admin @Matrix5913 电报实际上既不私密也不安全,不应该作为主要平台。
Show threadKIP/JΛYCHØU ⁂   Apr 3

@Matrix5913 #telegram 也有曾经有用 #TON 低价购买+888 匿名号码的活动,但是活动过去就完全变成导狗领域了,而且还有拍卖环节,一般都要2000$......

All 136,566 numbers sold out in December 2022. Now, you can only buy from an existing owner.

https://fragment.com/numbers

Buy a Collectible Number

Link a collectible number to your Telegram account to log in or sign up without a SIM card.

Fragment Auctions
Show threadYuki婉梦Apr 3
@admin
疯了疯了 这太贵了
我这等草民是买不起了
Show threada53bdbApr 4
@Matrix5913 @admin 这个是 eSIM 还是直接绑定电报账号的虚拟号码?
Show threadKIP/JΛYCHØU ⁂   Apr 4
@a53bdb @Matrix5913
除了绑定telegram没有任何作用的虚拟号码
对了,还有左手导右手
Show threadYuki婉梦Apr 4
@admin
你这是一晚上没睡吗 
感觉怎么一直都在
Show threadKIP/JΛYCHØU ⁂   Apr 4
@Matrix5913
睡了7个小时((
只是白天会一直在
Show threadYuki婉梦Apr 4
@admin
怎么就7个小时了
你这晚上几点睡的啊喂
我昨天3点睡的 刚起床没一会 
Show thread五葉地錦Apr 3
@admin @Matrix5913

未考证
https://t.me/fangliyeesu/90
猫耳逆变器的奇妙灵堂

Telegram
Show threadXLBilly Apr 4
@admin @Matrix5913 社工库可能性更高一些,可以卖给恶俗开盒大手子
Show threadKIP/JΛYCHØU ⁂   Apr 3
@Matrix5913
https://x.com/i/status/2039727899868385721
https://xcancel.com/i/status/2039727899868385721
「nekogram是我的个人项目」那没事了,道德制高点了
奶昔🥤 (@realNyarime) on X

省流:数据我收集了,怎么用的不告诉你,你能拿我咋滴,嘻嘻 转自电报频道bdovo_channel,非官方Telegram客户端Nekogram会向开发者传输账户与用户电话号码关联的信息。 对此,在GitHub上LSPosed模块RomashkaTea/nekogram-proof-of-logging,可自行将机器人ID和用户名替换。

X (formerly Twitter)
Show threadCytrogen ⁂Apr 3

@Matrix5913 开源只解决了社区内大家一起协同合作开发的问题。如果没有人去检查的话,偷偷在代码中投毒的问题依然难以解决 

只能未来留个心眼:每次要下载跟使用一个软件时,花时间去阅读它的代码、构建方式等,就像使用一个服务前阅读隐私条款一样。

想到个类似的案例,是去年还是前年的 Pake-Plus。因为是利用 GitHub Actions 来构建 app,所以项目会询问用户的 GitHub token。

后来有人发现,代码中该作者会利用这个 token 强行让用户的 GitHub 账户给自己的项目 star、fork 来刷数据。

被揭露后他一是快速在文档中添加了此事的说明,然后颠倒黑白说自己明明在文档里写了、你们没读是你们的问题,二是辱骂反对的用户是「白嫖党」,自己开源想要点 star 怎么了。

实在是难以评价!

Show threadYuki婉梦Apr 3
@cytrogen
说真的
之前一直以为开源是真的无私奉献
顶多就是要个名头
现在相信大部分人也是抱着这个目的去的
不过还真有这种作恶的人……
真是一颗老鼠屎
真烦人
要是想做坏事就别开源
这都开源了 代码都向大家开放了
本来一件很伟大 很有奉献精神的事情被搞成这样
这样的人真是……真不知道怎么说好了
Show threadCytrogen ⁂Apr 3

@Matrix5913 我对这件事的看法是,必须对「开源」去魅力化。

根据《大教堂和市集》所说,开源最初只是一种开发的方式。因为当时所有人都在使用专业团队精心设计和开发的没有任何问题的软件。而 Linus 反其道而行之,将到处都是 bug 的软件开源、让所有人都参与到软件的开发中来。更多眼睛和用户意味着可以找到更多的 bug、想出更好的功能。

社会主流的想法便是把开源软件想太好了,认为开源代码的人都是好人,但实际上许多我们常说「邪恶」的大公司也会开源代码。只要有了信任,自然也不会检查代码有没有问题,再之后便是更邪恶的人出现、盗取用户的资产 

Show thread伏枥 Apr 3
@cytrogen @Matrix5913 防人之心不可无啊……
Show threadCaohuaK ❄️Apr 3
@cytrogen @Matrix5913 或许那个时代的用户群体还没如今那么复杂多样的缘故。
Show threadKIP/JΛYCHØU ⁂   Apr 3

@cytrogen @Matrix5913

很多开源项目很安全的幻觉:你觉得他肯定检查了代码,他觉得你肯定检查了代码,结果就是没人任何人检查代码((所以AI编写代码不知道,检查代码安全性大有可为((

Pake-Plus这么逆天的操作吗?我看作者还在Bilibili很活跃宣传自己的产品......

被揭露后他一是快速在文档中添加了此事的说明,然后颠倒黑白说自己明明在文档里写了、你们没读是你们的问题

Show threadYuki婉梦Apr 3
@admin @cytrogen
完了 什么都不懂 我是真不看 
Show threadCytrogen ⁂Apr 3
@Matrix5913 @admin 生成式 LLM 的出现的一个好处便是可以让原先不知道这些事情的人们也可以快速读懂代码、又臭又长的隐私条款。只要大家都发现事情的严重性,相信在未来人们都会努力阅读它们、揪出各种坏家伙来 
Show threadKIP/JΛYCHØU ⁂   Apr 3

@cytrogen @Matrix5913

新的信息:nekogram作者在安装包投的毒...
如果是自构建则不会有这个问题,看来以后需要校验哈希值和自构建安装包了((
但是比如Google play版,作者肯定要改一点点的,所以也校验了哈希值不一致还是无法判断是否被投毒......

Show threadHPCesia Apr 3
@admin @cytrogen @Matrix5913 F-Droid 的打包策略可有效应对此类投毒方式。
Show threadCytrogen ⁂Apr 3

@admin @Matrix5913 影响最大的依然是不会自构建自托管的一般人用户 

因为你先前发的那个 Twitter 链接中有人提到了 Nekogram 作者的真名,让我有些好奇,发现曾经也没少做过奇怪的事情……难道探索作者历史也是防止被背刺的必要能力之一?

现在翻到了 Telegram 上用户对此的态度,过了一天的时间看起来更多的是「现在这个年头早就没有隐私了」的想法,也是挺危险的。

Show threadCytrogen ⁂Apr 3

@admin @Matrix5913 翻到了这个: https://telegra.ph/%E6%9C%89%E5%85%B3-Nekogram-Lite-%E7%9A%84%E6%95%85%E4%BA%8B-04-09

是 Nekogram Lite 的作者写的,在 2020 年时发现的三方混战的事情。

有意思的是作者的这段话:

如果你使用一个人构建的 app,你应当充分信任这个人,否则你最好自己构建。诘问他「你的 app 有后门吗」是没有意义的。我个人认为这三个应用都还没有出现应用和开源代码不一致的情况。

有关 Nekogram Lite 的故事

因为被恶意举报从 Google Play 下架了,以及对 Google Play 政策的不满,Nekogram Lite 不会再上架应用商店了,以后就直接通过 apk 分发了。 从 Zuragram 到复活 Nekogram 一切的故事要从我开始用 Nekogram 说起。以前的话我是一个 Plus Messenger 用户,2019 年初的时候,忘了从哪个频道说“发现市面上还没有一个可以一键复读的客户端,我就做了一个”。我当时就去装了,后来发现这个复读真是太好用了,然后基本需要的功能也都有(有分类 tab,无引用转发,查看 ID 等等),就只用这个客户端,不再用 Plus 了。 后来有天 Nekogram 说不维护了,渐渐地频道、群组和机器人都删了。再后来 Telegram 出了新版,有了归档这个功能。我当时非常喜欢也需要这个功能,相对来说我觉得有了归档我就不需要分类 tab 了。但是我又很想要复读。于是我 fork 出了 Zuragram 这个库,在官方客户端的基础上学着之前的 Nekogram 加了复读的功能。 我创建了 @Zuragram 这个频道,把我的 app 上传了上去。在把它发到瓜体中文的群里之后,陆续有了一些人关注。…

Telegraph
Show threada53bdbApr 4
@cytrogen @admin @Matrix5913 任何分发渠道都可以做可复现构建。如果维护者是恶意的,自己构建挡不住源码里就有后门。目前开源社区更重要的问题是没有人审计,甚至是 xz-utils 这样广泛使用的软件。
Show threadYuki婉梦Apr 4
@cytrogen @admin
我的天
有这这脑子用在哪不好 
Show threada53bdbApr 4
@admin @cytrogen @Matrix5913 Nekogram 已经多次出现侵犯隐私与安全的事件,整个开发团队都不值得继续信任。
Show threadCytrogen ⁂Apr 3

@admin @Matrix5913 关于 Pake-Plus 的事情,可以看这个汇总帖: https://linux.do/t/topic/826080/9

因为我之前用过 Pake,也关注过作者 TW93,误以为 Pake-Plus 真的就是更好的 Pake,还傻傻去用了。之后发现自己的账户无缘无故关注了 Pake-Plus 的作者,以及 star 了他的三个 Pake-Plus 项目。

再之后便是看到 TW93 在 Pake-Plus 的 issues 区叫他不要使用 Pake 这个名字,以及 V2EX、Linux.do 上大家挖掘 Pake-Plus 代码中的各种异常之处,才发现自己被骗了。

AI 检查代码让我想起几个月前有个国外的程序员找工作,克隆「公司」代码下来后留了个心眼,让 AI 检查了波代码发现该项目里面有「只要运行了就会盗取 crypto 钱包」的事情。

Show threadYuki婉梦Apr 3
@cytrogen @admin
删除能解决的还好
就怕删除也解决不了 
比如手机后门或者盗取财产这种
那真是太恶心了
用个开源软件也好累……
Show threadCytrogen ⁂Apr 3
@Matrix5913 哦不,我重新阅读了一下报告,意识到问题更严重一些。Nekogram 开源的代码是没有问题的,所以自己构建的话可以得到干净的 Nekogram。但是编译好的可运行软件不是。这意味着现在不单单要检查代码有没有被投毒,还要额外反编译二进制可运行软件(除非自行构建)才能确保软件是否安全 ​ 能读懂且会去读代码的人就少,现在门槛还要多个「会反编译」。对于没有过多计算机知识,但是想要使用更好的软件的一般人而言处境只会越来越困难。
Show threada53bdbApr 4
@cytrogen @Matrix5913 即使能反编译,也未必能发现漏洞。谷歌虽已开始借助机器学习扫描开源项目中的安全隐患,但这类并不直接涉及安全、而是关乎隐私的问题,仍依赖人工审计。