Das Blockchain-Sicherheitsunternehmen CertiK hat einen neuen Bericht veröffentlicht, der zeigt, dass es eine neue Schwachstelle im Telegram Messenger gibt, die Benutzer bösartigen Angriffen aussetzt. In seinem Beitrag zu X erwähnte das Sicherheitsunternehmen die Schwachstelle, die Hacker nutzen könnten, um einen Remote Code Execution (RCE)-Angriff über die Medienverarbeitung von Telegram durchzuführen.

CertiK beschreibt die Schwachstelle der Desktop-Anwendung von Telegram

Der Beitrag stellte klar, dass Hacker die Medienverarbeitung in der Desktop-Anwendung von Telegram ausnutzen und so den RCE-Angriff durchführen könnten. CertiK wies darauf hin, dass Benutzer durch speziell erstellte Mediendateien diesen bösartigen Angriffen ausgesetzt sein könnten. „Dieses Problem setzt Benutzer durch speziell gestaltete Mediendateien wie Bilder oder Videos bösartigen Angriffen aus“, sagte CertiK.

#CertiKInsight ⚠️Wir sehen eine Sicherheitslücke mit hohem Risiko. Bitte überprüfen Sie Ihre Telegram-Konfigurationen, um die Sicherheit zu verbessern!👇👇👇👇👇Bei der Medienverarbeitung von Telegram in der Telegram-Desktopanwendung wurde ein möglicher RCE erkannt. Dieses Problem setzt Benutzer bösartigen Angriffen durch… aus.

— CertiK Alert (@CertiKAlert), 9. April 2024

Laut einem CertiK-Sprecher ist die besagte Schwachstelle nur auf die Desktop-Anwendung beschränkt. Er weist darauf hin, dass die mobile Anwendung im Gegensatz zum Desktop, der Signaturen erfordert, keine ausführbaren Programme direkt ausführt. Der Sprecher wies auch darauf hin, dass es die Sicherheitsgemeinschaft war, die das Problem entdeckte. Um die Schwachstelle zu vermeiden, forderte CertiK die Benutzer auf, die automatische Download-Funktion in der Desktop-Konfiguration ihrer Telegram-Anwendung zu deaktivieren.

Benutzer können die automatische Download-Funktion deaktivieren, indem sie auf „Einstellungen“ klicken und dann „Erweitert“ auswählen. Nachdem die Option zum automatischen Herunterladen von Medien angezeigt wird, können sie die Deaktivierungsschaltfläche für alle Mediendateien aktivieren.

Reaktion und Maßnahmen zur Beseitigung von Schwachstellen

Telegram ist eine Messenger-Anwendung, die seit ihrer Einführung großen Erfolg hat. Die kryptofreundliche Anwendung ermöglicht es Benutzern, Nachrichten, Bilder, Videos und digitale Vermögenswerte wie Bitcoin und Toncoin auszutauschen. Sie ermöglicht es Benutzern, diese kryptobezogenen Aktivitäten mithilfe ihrer Depot-Wallet namens Wallet durchzuführen. Die Plattform verfügt über eine Depot-Wallet, um Krypto-Neulingen zu helfen, die noch unerfahren sind, wenn es um die Selbstverwahrung geht.

Telegram antwortete umgehend auf das Update zu X und stellte fest, dass die besagte Schwachstelle nicht existiere. „Wir können nicht bestätigen, dass eine solche Schwachstelle existiert. Bei diesem Video handelt es sich wahrscheinlich um eine Falschmeldung“, hieß es in der Messaging-App.

Wir können nicht bestätigen, dass eine solche Schwachstelle existiert. Bei diesem Video handelt es sich wahrscheinlich um eine Falschmeldung. Jeder kann potenzielle Schwachstellen in unseren Apps melden und dafür belohnt werden: https://t.co/UkzPFSVigy

— Telegram Messenger (@telegram) 9. April 2024

Es ist jedoch nicht das erste Mal, dass eine Sicherheitslücke auf der Plattform gemeldet wurde. Im Jahr 2023 entdeckte der Google-Ingenieur Dan Reva einen Fehler, der Hackern helfen könnte, die Kameras und das Mikrofon auf macOS-Laptops zu aktivieren.

Telegram hat auch unermüdlich daran gearbeitet, Schwachstellen auf seiner Plattform zu entdecken und zu beheben. Die Messaging-App verfügt über ein Bug-Bounty-Programm, das seit 2014 läuft und Forschern und Entwicklern die Möglichkeit bietet, Belohnungen von bis zu 100.000 US-Dollar für das Entdecken von Problemen in der App zu erhalten. Darüber hinaus fordert die App jeden, der Probleme in der App entdeckt, auf, diese zu melden. „Jeder kann potenzielle Schwachstellen in unseren Apps melden und eine Belohnung erhalten“, sagte Telegram.