Telegram bestreitet gemeldete Sicherheitslücke in der Desktop-App und bestätigt, dass die mobile App nicht von Sicherheitsproblemen betroffen ist

Das Web3-Sicherheitsunternehmen CertiK sagte, der Zweck seiner Social-Media-Beiträge bestehe darin, das Bewusstsein für das Problem zu schärfen.

Telegram hat Behauptungen zurückgewiesen, dass auf seiner Plattform eine Schwachstelle bestehe, die Benutzer Angriffen aussetzen könnte.

Informationen zu Schwachstellen

Das Blockchain-Sicherheitsunternehmen CertiK sagte am 9. April, dass die Desktop-Anwendung von Telegram eine potenziell hochriskante RCE-Schwachstelle (Remote Code Execution) aufweist. Das Unternehmen erklärte:

„Bei der Medienverarbeitung der Telegram-Desktopanwendung wurde ein möglicher RCE entdeckt. Dieses Problem setzt Benutzer dem Risiko böswilliger Angriffe über speziell gestaltete Mediendateien wie Bilder oder Videos aus.“

Laut CertiK könnte diese Schwachstelle es böswilligen Akteuren ermöglichen, RCE an Benutzer zu senden und diese möglicherweise Angriffen mit speziell gestalteten Mediendateien auszusetzen.

Das Sicherheitsunternehmen stellte klar, dass die Sicherheitslücke auf Desktop-Anwendungen beschränkt ist, die in den Dateien enthaltene Programme ausführen können. Mobile Anwendungen sind nicht betroffen, da sie keine Programme ausführen.

Aus Sicherheitsgründen empfiehlt CertiK den Benutzern, automatische Downloads in der Desktop-Anwendung zu deaktivieren. Benutzer können die Medien-Download-Einstellungen in den App-Einstellungen auf manuelle Downloads umstellen.

Antwort von Telegram

In einem Beitrag am 9. April auf der Plattform

Dennoch fordert die Plattform die Benutzer dringend dazu auf, alle Bedrohungen oder potenziellen Schwachstellen in ihren Anwendungen über ihr Bug-Bounty-Programm zu melden.

Unterdessen teilte ein Sprecher von CertiK Reportern mit, dass das Unternehmen keinen Kontakt zu Telegram gehabt habe und dass die Nachricht über die Sicherheitslücke aus der Sicherheitsgemeinschaft käme. Er fügte hinzu, dass die mobile Version der Messaging-App „nicht direkt ausführbare Dateien wie den Desktop ausführt, der normalerweise eine Signatur erfordert“, und daher nicht von dieser Sicherheitslücke betroffen sei.

CertiK erklärte weiter, dass seine Social-Media-Beiträge zu Schwachstellen das Bewusstsein für potenzielle Probleme schärfen und Benutzer daran erinnern sollen, korrigierende Schutzmaßnahmen zu ergreifen. #Telegram #漏洞