Telegram popírá hlášenou zranitelnost v aplikaci pro stolní počítače a potvrzuje, že mobilní aplikace není ovlivněna bezpečnostním problémem

Web3 bezpečnostní společnost CertiK uvedla, že účelem jejích příspěvků na sociálních sítích bylo zvýšit povědomí o tomto problému.

Telegram popřel tvrzení, že na jeho platformě existuje zranitelnost, která by mohla uživatele vystavit útokům.

Informace o zranitelnostech

Blockchainová bezpečnostní společnost CertiK 9. dubna uvedla, že desktopová aplikace Telegramu má potenciálně vysoce rizikovou zranitelnost vzdáleného spuštění kódu (RCE). Společnost uvedla:

"Při manipulaci s médii v desktopové aplikaci Telegram bylo zjištěno možné RCE. Tento problém vystavuje uživatele riziku škodlivých útoků prostřednictvím speciálně vytvořených mediálních souborů, jako jsou obrázky nebo videa."

Podle CertiK by tato zranitelnost mohla umožnit zlomyslným aktérům posílat uživatelům RCE a potenciálně je tak vystavit útokům pomocí speciálně vytvořených mediálních souborů.

Bezpečnostní firma objasnila, že zranitelnost je omezena na desktopové aplikace, které mohou spouštět programy obsažené v souborech. Mobilní aplikace nejsou ovlivněny, protože nespouštějí programy.

Z bezpečnostních důvodů CertiK doporučuje uživatelům zakázat automatické stahování v desktopové aplikaci. Uživatelé mohou upravit nastavení stahování médií na ruční stahování v nastavení aplikace.

Odpověď telegramu

V příspěvku na platformě Telegram X (dříve Twitter) z 9. dubna bylo uvedeno, že tato populární videa jsou pravděpodobně podvod, protože na její platformě žádná taková zranitelnost neexistuje.

Platforma přesto vyzývá uživatele, aby hlásili jakékoli hrozby nebo potenciální zranitelnosti v jejích aplikacích prostřednictvím programu odměn za chyby.

Mezitím mluvčí CertiK novinářům řekl, že společnost nebyla v kontaktu s Telegramem a že zprávy o zranitelnosti přišly z bezpečnostní komunity. Dodal, že protože mobilní verze aplikace pro zasílání zpráv „neprovádí přímo spustitelné programy, jako je desktop, který obvykle vyžaduje podpis“, není touto chybou zabezpečení ovlivněna.

CertiK dále uvedl, že jeho příspěvky na sociálních sítích o zranitelnostech mají zvýšit povědomí o potenciálních problémech a připomenout uživatelům, aby přijali nápravná ochranná opatření. #Telegram #漏洞