ブロックチェーンセキュリティ企業CertiKは、Telegram Messengerに新たな脆弱性があり、ユーザーが悪意のある攻撃にさらされていることを示す新しいレポートを公開した。Xに関する投稿で、このセキュリティ企業は、ハッカーがTelegramのメディア処理を介してリモートコード実行（RCE）攻撃を展開するために使用する可能性のある脆弱性について言及した。

CertiK、Telegramのデスクトップアプリケーションの脆弱性を詳細に説明

この投稿では、ハッカーがTelegramのデスクトップアプリケーション上のメディア処理を悪用し、RCE攻撃を展開する可能性があることが明らかにされている。CertiKは、特別に作成されたメディアファイルを通じてユーザーがこれらの悪意のある攻撃にさらされる可能性があると指摘した。「この問題により、ユーザーは画像や動画などの特別に細工されたメディアファイルを通じて悪意のある攻撃にさらされることになります」とCertiKは述べた。

#CertiKInsight ⚠️高リスクの脆弱性が見つかりました。セキュリティを強化するために、Telegram の設定を確認してください!👇👇👇👇👇Telegram デスクトップ アプリケーションの Telegram メディア処理で、RCE の可能性が検出されました。この問題により、ユーザーは… を通じて悪意のある攻撃にさらされます。

— CertiK Alert (@CertiKAlert) 2024年4月9日

CertiK の広報担当者によると、この脆弱性はデスクトップ アプリケーションのみに限定されているとのことです。同氏は、モバイル アプリケーションは、署名を必要とするデスクトップとは異なり、実行可能プログラムを直接実行しない点を指摘しています。また、この問題を発見したのはセキュリティ コミュニティであるとも述べています。脆弱性を回避するために、CertiK は、Telegram アプリケーションのデスクトップ構成で自動ダウンロード機能を無効にするようユーザーに呼びかけています。

ユーザーは、「設定」をクリックして「詳細」を選択することで、自動ダウンロード機能を無効にできます。自動メディア ダウンロード オプションがポップアップ表示されたら、すべてのメディア ファイルで無効ボタンを切り替えることができます。

脆弱性への対応と対策

Telegram は、リリース以来、かなりの成功を収めているメッセンジャー アプリケーションです。この仮想通貨対応アプリケーションでは、ユーザーはメッセージ、画像、動画、ビットコインや Toncoin などのデジタル資産を交換できます。ユーザーは、ウォレットと呼ばれる管理ウォレットを使用して、これらの仮想通貨関連のアクティビティを実行できます。このプラットフォームには、自己管理に関してまだ経験の浅い仮想通貨初心者を支援する管理ウォレットがあります。

テレグラムはXのアップデートにすぐに返信し、この脆弱性は存在しないと指摘した。「そのような脆弱性が存在するかどうかは確認できません。この動画はおそらくデマです」とメッセージングアプリは述べた。

このような脆弱性が存在するかどうかは確認できません。この動画はおそらくデマです。誰でも当社のアプリの潜在的な脆弱性を報告して報酬を得ることができます: https://t.co/UkzPFSVigy

— テレグラムメッセンジャー (@telegram) 2024年4月9日

しかし、このプラットフォームで脆弱性が報告されたのは今回が初めてではない。2023年、Googleのエンジニアであるダン・レヴァ氏は、ハッカーがmacOSラップトップのカメラとマイクを作動させるのに役立つ可能性のあるバグを発見した。

テレグラムは、プラットフォーム上の脆弱性を発見し、対処するためにも精力的に取り組んでいる。このメッセージング アプリには、2014 年からバグ報奨金プログラムがあり、研究者や開発者はアプリの問題を発見すると最大 10 万ドルの報奨金を獲得できる機会がある。さらに、アプリで問題を発見した人は誰でも報告するよう呼びかけている。「誰でも当社のアプリの潜在的な脆弱性を報告し、報奨金を受け取ることができます」とテレグラムは述べている。