Библиотека-Cactus с полноценным хелпом по командам и плагинам, безграничными возможностями для текстовых/uri команд, импорта/экспорта плагинов и многим другим!

Cactus's library with full-fledged help, limitless features for text/uri commands, plugins import/export and more than!

❏ Анализ:
• Анализ выявил критическую уязвимость, позволяющую выполнение произвольного кода.
• Опасно: Функция `var_459` (названная `_eval` в исходном коде и вызываемая командой `var_480` - `eval_command`) принимает произвольный код, предоставленный пользователем (`var_181.raw_args`). Этот код модифицируется с использованием модуля `ast`, компилируется и затем исполняется (`exec`). Выполняемый код имеет полный доступ к экземпляру плагина (`self`), объекту сообщения, объекту команды и экземпляру утилит `CactusUtils`, что позволяет выполнять любые операции в контексте плагина, включая доступ к файловой системе, сетевые запросы, взаимодействие с Telegram API и потенциально удаленное выполнение кода на устройстве. Это прямое нарушение принципа безопасности, запрещающего выполнение произвольного кода из непроверенных источников.
• Осторожно: Плагин перехватывает механизм загрузки плагинов (`PluginsController.loadPluginFromFile`) для файлов с расширением `.clib` через хук `var_420`. Он декодирует, декомпрессирует и десериализует JSON-содержимое этих файлов, а затем передает извлеченный код плагина обратно в `PluginsController.loadPluginFromFile` через функцию `var_556` (`_load_plugin`). Хотя сама функция `loadPluginFromFile` считается безопасной в контексте доверенных источников, данный плагин позволяет загружать пользовательские файлы `.clib`, которые могут быть из непроверенных источников. Это создает потенциальный вектор для социальной инженерии, если вредоносный `.clib` файл будет предоставлен пользователю.
• Осторожно: Функция `var_241` (названная `runtime_exec` в исходном коде) вызывает `java.lang.Runtime.getRuntime().exec()`, что позволяет выполнять системные команды. Хотя ее текущее использование в функции `var_255` (`get_logs`) ограничено чтением логов (`logcat`) с контролируемыми и санитаризированными аргументами (плагин ID, уровень лога, время, строка фильтра), наличие такой функции является высокорисковым примитивом. Любое изменение в логике вызова или недостаточно строгая валидация аргументов в будущем может привести к уязвимости внедрения команд.
• Анализ не выявил действий, угрожающих безопасности, кроме вышеуказанных. Плагин использует стандартные API exteraGram для работы с UI, сообщениями, пользователями и файлами в разрешенных директориях.

🛡️ Отчет по безопасности: TextFormatter v1.0.4

◈ Вердикт: ✅ Безопасно
──────────────
☶ Назначение: Плагин автоматически форматирует исходящие сообщения пользователя, применяя различные стили, такие как жирный, курсив, моноширинный, подчеркивание, зачеркивание, цитирование, спойлер, Zalgo-стиль и SpOnGeBoB-стиль, в зависимости от настроек.
──────────────
❏ Анализ:
• Анализ не выявил действий, угрожающих безопасности. Плагин использует стандартные API ExteraGram.
• Код плагина полностью соответствует заявленному функционалу и использует только официальные и безопасные механизмы фреймворка ExteraGram для взаимодействия с сообщениями, пользовательским интерфейсом и системными утилитами. Отсутствуют какие-либо сетевые запросы к сторонним серверам, операции с файлами вне разрешенных директорий, попытки исполнения внешнего кода или доступ к конфиденциальным данным пользователя, не связанным с обрабатываемыми сообщениями.

🛡️ Отчет по безопасности: Media Downloader v1.7

◈ Вердикт: ⚠️ Осторожно
──────────────
☶ Назначение: Плагин предназначен для скачивания медиафайлов (фото, видео, аудио, GIF) из различных интернет-источников через сторонний API и их последующей отправки в Telegram.
──────────────
❏ Анализ:
• Анализ не выявил действий, угрожающих безопасности критичных данных пользователя или исполняющих вредоносный код. Плагин использует стандартные API ExteraGram для взаимодействия с клиентом и системой. Однако, обнаружены следующие действия, требующие осторожности:
• Использование сторонних API: Плагин подключается к сервису Cobalt (по умолчанию или по выбору пользователя) для обработки ссылок и получения прямых ссылок на медиа. Поскольку пользователь может указать произвольный URL для Cobalt API, существует риск подключения к неизвестному или потенциально незащищенному серверу. Уровень риска: Осторожно.
• Загрузка медиа с внешних источников: Плагин загружает медиафайлы с URL, полученных от Cobalt API. В случае, если загрузка по HTTPS не удается, плагин автоматически пытается загрузить файл по HTTP. Это создает риск перехвата или подмены данных (медиафайлов) при их передаче по незащищенному соединению. Уровень риска: Осторожно.
• Кастомная реализация прокси: Плагин включает собственную реализацию SOCKS5 и MTProto прокси, а также патчит стандартную функцию создания сетевых соединений в библиотеке requests. Это глубокое вмешательство в сетевой стек приложения. Хотя это предназначено для использования пользовательских прокси, некорректная реализация или уязвимости в этой логике могут привести к непредвиденным сетевым проблемам или некорректной маршрутизации трафика. Основной риск связан с подключением к пользовательским, потенциально небезопасным прокси-серверам. Уровень риска: Осторожно.
• Доступ к буферу обмена: Плагин использует функцию addToClipboard для копирования информации (например, адреса TON-кошелька). Это действие относится к незначительным недочетам, не влияющим на безопасность, так как пользователь инициирует его явно. Уровень риска: Низкий риск.

🛡️ Отчет по безопасности: Local message editor v1.0.0

◈ Вердикт: ✅ Безопасно
──────────────
☶ Назначение: Плагин позволяет пользователю локально редактировать текст сообщений, на которые он отвечает, и очищать список таких изменений, отображая их только на своей стороне клиента.
──────────────
❏ Анализ:
• Анализ не выявил действий, угрожающих безопасности. Плагин использует стандартные API ExteraGram.
• Плагин использует механизмы хуков (MethodHook, HookStrategy) для перехвата отправки сообщений и отображения их содержимого, что является стандартной и безопасной практикой в рамках фреймворка ExteraGram.
• Все операции по изменению текста сообщений и хранению данных (need_edit) выполняются исключительно в оперативной памяти клиента и не передаются на сторонние серверы, не записываются в общие файловые хранилища и не затрагивают конфиденциальные данные пользователя.
• Отсутствуют какие-либо сетевые запросы, доступ к файловой системе вне собственной области плагина, или использование потенциально опасных функций для выполнения произвольного кода.