Die Messaging-Anwendung Telegram hat die Schwere eines entdeckten Exploits heruntergespielt, der es Forschern ermöglichte, auf die Kamerasysteme von Apple macOS-Geräten zuzugreifen.

Der Softwareentwickler Dan Revah hat den Exploit in einem Blogbeitrag am 15. Mai markiert und die Methode beschrieben, die es ihm ermöglicht, eine lokale Rechteausweitung zu erreichen, um auf die Kamera eines macOS-Benutzers zuzugreifen, und zwar über Berechtigungen, die einer installierten Telegram-Anwendung zuvor erteilt wurden.

Durch das Einfügen einer dynamischen Bibliothek in das System eines Benutzers würde der Exploit Aufnahmen von der Kamera des Geräts und das Speichern der Datei ermöglichen. Revah behauptet außerdem, dass der Exploit es einem Angreifer ermöglicht, die Sandbox des Terminals mithilfe eines Startagenten zu umgehen. Ein Angreifer könnte außerdem mehr Privilegien für das System erlangen, indem er auf datenschutzbeschränkte Bereiche zugreift.

Cointelegraph hat sich an Telegram gewandt, um zu bestätigen, ob das Team die von Revah geäußerten Bedenken berücksichtigt hat und um die Schwere des identifizierten Exploits zu ermitteln. Telegram-Sprecher Remi Vaughn sagte, dass Telegram-Benutzer standardmäßig nicht gefährdet seien, da der Exploit die Installation von Malware auf ihren Systemen erfordere:

„Diese Situation hat mehr mit Apples Berechtigungssicherheit zu tun als mit Telegram und kann daher potenziell jede macOS-App beeinträchtigen. Das eigentliche Problem ist, dass es möglich zu sein scheint, Apples Sandbox-Beschränkungen zu umgehen, die speziell geschaffen wurden, um einen solchen Missbrauch von Drittanbieter-Apps zu verhindern.“

Vaughn sagte, dass Telegram Änderungen vorgenommen habe, die am späten 16. Mai vom Apple App Store genehmigt worden seien. Er fügte außerdem hinzu, dass für Benutzer, die die Telegram-App direkt von der Website der Messaging-Anwendung heruntergeladen hätten, kein Risiko bestehe.

Cointelegraph hat Apple um einen offiziellen Kommentar zu dem Exploit gebeten.

Telegram hat im Dezember 2022 ein Update veröffentlicht, das es Benutzern ermöglicht, Konten mit blockchainbasierten anonymen Nummern zu erstellen, um Privatsphäre und Sicherheit zu erhöhen.

Die Funktion erfordert, dass Benutzer blockchainbasierte anonyme Nummern von der dezentralen Auktionsplattform Fragment kaufen. Auf der Plattform verkaufte Benutzernamen und anonyme Nummern sind nur mit Telegram kompatibel und werden mit den nativen The Open Network (TON)-Token der App gekauft und verkauft.

Im November 2022 deutete Telegram-Gründer Pavel Durov an, dass die Plattform nach dem Zusammenbruch der Kryptowährungsbörse FTX von Sam Bankman-Fried eine Vielzahl dezentraler Tools und Dienste aufbauen würde.