Telegram nega la vulnerabilità segnalata nell'app desktop, conferma che l'app mobile non è interessata da problemi di sicurezza

La società di sicurezza Web3 CertiK ha affermato che lo scopo dei suoi post sui social media è quello di aumentare la consapevolezza del problema.

Telegram ha negato le affermazioni secondo cui esiste una vulnerabilità sulla sua piattaforma che potrebbe esporre gli utenti ad attacchi.

Informazioni sulle vulnerabilità

La società di sicurezza blockchain CertiK ha dichiarato il 9 aprile che l'applicazione desktop di Telegram presenta una vulnerabilità RCE (Remote Code Execution) potenzialmente ad alto rischio. La società ha dichiarato:

"È stato rilevato un possibile RCE nella gestione multimediale dell'applicazione desktop Telegram. Questo problema espone gli utenti al rischio di attacchi dannosi tramite file multimediali appositamente predisposti, come immagini o video."

Secondo CertiK, questa vulnerabilità potrebbe consentire ad autori malintenzionati di inviare RCE agli utenti, esponendoli potenzialmente ad attacchi con file multimediali appositamente predisposti.

La società di sicurezza ha chiarito che la vulnerabilità è limitata alle applicazioni desktop che possono eseguire i programmi contenuti nei file. Le applicazioni mobili non sono interessate perché non eseguono programmi.

Per motivi di sicurezza, CertiK consiglia agli utenti di disattivare i download automatici sull'applicazione desktop. Gli utenti possono modificare le impostazioni di download dei contenuti multimediali in download manuali nelle impostazioni dell'app.

La risposta di Telegram

In un post sulla piattaforma X di Telegram (ex Twitter) del 9 aprile, è stato affermato che questi video popolari sono probabilmente una truffa poiché sulla sua piattaforma non esiste alcuna vulnerabilità di questo tipo.

Tuttavia, la piattaforma esorta gli utenti a segnalare eventuali minacce o potenziali vulnerabilità nelle sue applicazioni attraverso il suo programma bug bounty.

Nel frattempo, un portavoce di CertiK ha detto ai giornalisti che la società non era stata in contatto con Telegram e che la notizia della vulnerabilità proveniva dalla comunità della sicurezza. Ha aggiunto che, poiché la versione mobile dell'app di messaggistica "non esegue direttamente gli eseguibili come il desktop, che in genere richiede una firma", non è interessata da questa vulnerabilità.

CertiK ha inoltre affermato che i suoi post sui social media sulle vulnerabilità hanno lo scopo di aumentare la consapevolezza di potenziali problemi e ricordare agli utenti di adottare misure protettive correttive. #Telegram #漏洞