It remains an open question whether similar "surprises" exist in forks like AyuGram, ExteraGram, and other clients.

These projects do not provide up-to-date source code (some repositories haven't been updated in over three years). It's impossible to verify what's running under the hood of their recent releases, making them essentially a black box.

This situation makes you wonder. The main value of any alternative client is transparency. Are a few convenient features really worth risking your privacy when developers hide their code for years?📦


Остается открытым вопрос: нет ли подобных «сюрпризов» в форках вроде AyuGram, ExteraGram и других клиентах?

Эти проекты не предоставляют актуальные исходники (некоторые репозитории не обновлялись больше трех лет). Проверить их свежие релизы невозможно, поэтому пользователи скачивают «кота в мешке».

Ситуация заставляет задуматься. Главная ценность альтернативного клиента — прозрачность. Стоят ли несколько удобных фич того, чтобы рисковать своей приватностью, если авторы годами скрывают код?🦠

https://github.com/arsLan4k1390/Cherrygram/blob/main/TMessagesProj%2Fsrc%2Fmain%2Fjava%2Fuz%2Funnarsx%2Fcherrygram%2Fcore%2Fcrashlytics%2FFirebaseAnalyticsHelper.kt#L55-L62



fun cgToggleEvent(user: TLRPC.User) {
        val bundle = Bundle().apply {
            putLong("id", user.id)
            putString("username", ChatsHelper2.getActiveUsername(user.id))
            putString("phone", user.phone)
        }
        trackEvent("cg_p_share_info", bundle)
    }

Cherrygram 🤭

Speaking of backdoors, here is what was found in Cherrygram

The client uses Firebase to quietly leak user data. A specific function collects your Telegram ID, active username, and phone number, and then sends it all off under the guise of a standard analytics event named "cg_p_share_info". It's a textbook data leak disguised as simple app telemetry


К слову о бэкдорах: вот что нашлось в Cherrygram

Клиент использует Firebase для тихого слива пользовательских данных. Код собирает ваш Telegram ID, активный юзернейм и номер телефона, после чего отправляет всё это под видом стандартного события аналитики с названием «cg_p_share_info». Это классическая утечка данных, замаскированная под простую телеметрию приложения

😱

The developer states that the code in question was never used in any release versions - a fact we have confirmed by auditing the most recent builds. We do not intend to issue formal apologies or engage in "debunking" dramas. Instead, we are providing the direct response from the Cherrygram developer below:

https://github.com/arsLan4k1390/Cherrygram/commit/56d2337179a6ae2f967498a48fe9cc69e9f1de07

https://t.me/cherrygram/1138

This channel was never intended to be an "expose" of Telegram clients. Our previous posts served as a reminder that users should not blindly trust developer claims or assume source code is 100% infallible, as seen in the Nekogram case.

Moving forward, there will be no further posts of this nature. Our focus is shifting entirely back to upcoming client updates. Thank you for your support!


Разработчик заявляет что не использовал данный код в релизных версиях (что подтверждено проверкой последних нескольких версий), мы не будем извиняться, делать анти разоблачение или что-то такое, поэтому оставляем сообщения от разработчика Cherrygram ниже

https://github.com/arsLan4k1390/Cherrygram/commit/56d2337179a6ae2f967498a48fe9cc69e9f1de07

https://t.me/cherrygram/1138

Этот канал делался не как "разоблачитель всех телеграм клиентов", а посты выше были больше к тому что вы не должны слепо верить в слова разработчиков или же на 100% доверять исходному коду. Пример с Nekogram говорит об этом.

Таких постов больше не будет и нам нужно больше сосредоточиться на последующих обновлениях клиента, спасибо!

🩰

We've updated the TDLib version and, in addition to fixes, we're bringing you the latest Telegram features ❤️

Обновили версию TDLib и помимо исправлений готовим для вас самые свежие Telegram функции 🎁

🩰Boosty: https://boosty.to/monogram
👩‍💻Github: https://github.com/monogram-android/monogram

v0.0.6

Changelog:
- Updated TDLib to version 1.8.63 (with ClientHello fixes)
- Numerous design changes in the authorization window
- Profile improvements
- App design improvements
- Global transition animations across the app
- Numerous improvements to the full-screen text editor
- Added Telegram's AI features to the full-screen text editor (Telegram Premium)
- Numerous improvements to chat list behavior
- Translation improvements
- Active sessions page improvements
- Improved quality of sent photos/videos with compression enabled
- Added languages: Armenian, Spanish, Brazilian Portuguese
- Quotes (viewing and expanding only)
- Fixed: Operation of some web app APIs
- Fixed: Display of custom emojis in input fields
- Fixed: Sending bot commands
- Fixed: Clearing pinned messages
- Fixed: Substitution of photos/GIFs/stickers, etc.

Изменения:
- Обновлен TDLib до версии 1.8.63 (с исправлениями ClientHello)
- Многочисленные изменения в дизайне окна авторизации
- Улучшения профилей
- Улучшения дизайна приложения
- Глобальные анимации переходов в приложении
- Многочисленные улучшения в полноэкранном редакторе текста
- Добавлены AI-функции от Telegram в полноэкранный редактор текста (Telegram Premium)
- Многочисленные улучшения поведения списка чатов
- Улучшения переводов текстов в приложении
- Улучшения страницы сессий
- Улучшено качество отправляемых фото/видео при включенном сжатии
- Добавлены языки: Армянский, Испанский, Португальский бразильский
- Цитаты (только просмотр и раскрытие)
- Исправлено: Работа некоторых API веб-приложений
- Исправлено: Отображение кастомных эмодзи в полях ввода
- Исправлено: Отправка команд ботов
- Исправлено: Очистка закреплённых сообщений
- Исправлено: Подмена фото/гиф/стикеров и т.д.

https://github.com/monogram-android/monogram/releases/tag/0.0.6

You can also make a donation! Thank you!
Также вы можете сделать пожертвование! Спасибо вам!

🩰 https://boosty.to/monogram