Blockchain bezpečnostní firma CertiK vydala novou zprávu, která ukazuje, že na Telegram Messengeru je nová zranitelnost, která vystavuje uživatele škodlivým útokům. Ve svém příspěvku na X bezpečnostní firma zmínila zranitelnost, kterou by hackeři mohli využít k nasazení útoku vzdáleného spuštění kódu (RCE) prostřednictvím zpracování médií Telegram.

CertiK podrobně popisuje zranitelnost desktopové aplikace Telegram

Příspěvek objasnil, že hackeři by mohli využít zpracování médií v desktopové aplikaci Telegram a nasadit tak útok RCE. CertiK poznamenal, že uživatelé mohou být vystaveni těmto škodlivým útokům prostřednictvím speciálně vytvořených mediálních souborů. "Tento problém vystavuje uživatele škodlivým útokům prostřednictvím speciálně vytvořených mediálních souborů, jako jsou obrázky nebo videa," řekl CertiK.

#CertiKInsight ⚠️Ve volné přírodě vidíme vysoce rizikovou zranitelnost. Zkontrolujte prosím své konfigurace telegramu, abyste zlepšili zabezpečení!👇👇👇👇👇Ve zpracování médií Telegramu v aplikaci Telegram Desktop byla zjištěna možná RCE. Tento problém vystavuje uživatele škodlivým útokům prostřednictvím…

— Upozornění CertiK (@CertiKAlert) 9. dubna 2024

Podle mluvčího CertiK je zmíněná zranitelnost omezena pouze na desktopovou aplikaci. Poznamenává, že mobilní aplikace neprovádí spustitelné programy přímo na rozdíl od desktopu, který vyžaduje podpisy. Mluvčí také poznamenal, že problém objevila bezpečnostní komunita. Aby se zabránilo zranitelnosti, společnost CertiK vyzvala uživatele, aby zakázali funkci automatického stahování v konfiguraci plochy své aplikace Telegram.

Uživatelé mohou funkci automatického stahování zakázat kliknutím na „Nastavení“ a výběrem „Pokročilé“. Poté, co se objeví možnost automatického stahování médií, mohou přepínat tlačítko zakázat u všech mediálních souborů.

Reakce a opatření k řešení zranitelných míst

Telegram je messengerová aplikace, která se od svého spuštění těší velkému úspěchu. Aplikace šetrná ke kryptoměnám umožňuje uživatelům vyměňovat si zprávy, obrázky, videa a digitální aktiva, jako jsou bitcoiny a toncoiny. Umožňuje uživatelům provádět tyto činnosti související s kryptoměnami pomocí své úschovné peněženky zvané Wallet. Platforma obsahuje peněženku, která pomáhá krypto nováčkům, kteří jsou stále zelení, pokud jde o vlastní správu.

Telegram rychle odpověděl na aktualizaci na X a poznamenal, že zmíněná chyba zabezpečení neexistuje. "Nemůžeme potvrdit, že taková zranitelnost existuje. Toto video je pravděpodobně podvod,“ uvedla aplikace pro zasílání zpráv.

Nemůžeme potvrdit, že taková zranitelnost existuje. Toto video je pravděpodobně podvod. Kdokoli může nahlásit potenciální zranitelnosti v našich aplikacích a získat odměny: https://t.co/UkzPFSVigy

— Telegram Messenger (@telegram) 9. dubna 2024

Není to však poprvé, co byla na platformě hlášena zranitelnost. V roce 2023 objevil inženýr Google Dan Reva chybu, která by mohla hackerům pomoci aktivovat kamery a mikrofon na laptopech macOS.

Telegram také neúnavně pracuje na objevování a řešení zranitelností na své platformě. Aplikace pro zasílání zpráv má program bug bounty, který běží od roku 2014 a nabízí výzkumníkům a vývojářům příležitosti získat odměny až 100 000 $ za odhalení problémů v aplikaci. Kromě toho aplikace vyzvala každého, kdo objeví problémy v aplikaci, aby je nahlásil. „Kdokoli může nahlásit potenciální zranitelnosti v našich aplikacích a získat odměnu,“ uvedl Telegram.