Firma zajmująca się bezpieczeństwem Blockchain, CertiK, opublikowała nowy raport pokazujący, że w programie Telegram Messenger pojawiła się nowa luka, która naraża użytkowników na złośliwe ataki. W swoim poście na X firma zajmująca się bezpieczeństwem wspomniała o luce, którą hakerzy mogą wykorzystać do przeprowadzenia ataku polegającego na zdalnym wykonaniu kodu (RCE) za pośrednictwem przetwarzania multimediów Telegramu.

CertiK szczegółowo opisuje lukę w aplikacji komputerowej Telegram

W poście wyjaśniono, że hakerzy mogą wykorzystać przetwarzanie multimediów w aplikacji komputerowej Telegramu, przeprowadzając w ten sposób atak RCE. CertiK zauważył, że użytkownicy mogą być narażeni na te złośliwe ataki poprzez specjalnie utworzone pliki multimedialne. „Ten problem naraża użytkowników na złośliwe ataki za pośrednictwem specjalnie spreparowanych plików multimedialnych, takich jak obrazy lub filmy” – stwierdził CertiK.

#CertiKInsight ⚠️Widzimy lukę wysokiego ryzyka na wolności. Sprawdź konfiguracje telegramu, aby poprawić bezpieczeństwo!👇👇👇👇👇W przetwarzaniu multimediów Telegrama w aplikacji Telegram Desktop wykryto możliwy RCE. Ten problem naraża użytkowników na złośliwe ataki za pośrednictwem…

— CertiK Alert (@CertiKAlert) 9 kwietnia 2024 r

Według rzecznika CertiK, wspomniana luka dotyczy wyłącznie aplikacji desktopowej. Zauważa, że ​​aplikacja mobilna nie wykonuje bezpośrednio programów wykonywalnych, w przeciwieństwie do aplikacji desktopowej, która wymaga podpisów. Rzecznik zauważył również, że problem odkryła społeczność zajmująca się bezpieczeństwem. Aby uniknąć tej luki, CertiK nalegał, aby użytkownicy wyłączyli funkcję automatycznego pobierania w konfiguracji pulpitu aplikacji Telegram.

Użytkownicy mogą wyłączyć funkcję automatycznego pobierania, klikając „Ustawienia”, a następnie wybierając „Zaawansowane”. Po wyświetleniu opcji automatycznego pobierania multimediów można przełączyć przycisk wyłączania dla wszystkich plików multimedialnych.

Reakcja i środki mające na celu usunięcie luk w zabezpieczeniach

Telegram to komunikator, który od chwili premiery cieszy się dużym powodzeniem. Ta przyjazna kryptografii aplikacja umożliwia użytkownikom wymianę wiadomości, zdjęć, filmów i zasobów cyfrowych, takich jak Bitcoin i Toncoin. Umożliwia użytkownikom wykonywanie tych działań związanych z kryptowalutami za pomocą portfela depozytowego zwanego Wallet. Platforma posiada portfel depozytowy, który pomaga początkującym kryptowalutom, którzy wciąż są zielone, jeśli chodzi o samoopiekę.

Telegram szybko odpowiedział na aktualizację X, zauważając, że wspomniana luka nie istnieje. „Nie możemy potwierdzić, że taka luka istnieje. Ten film to prawdopodobnie mistyfikacja” – oznajmiła aplikacja do przesyłania wiadomości.

Nie możemy potwierdzić, że taka luka istnieje. Ten film to prawdopodobnie mistyfikacja. Każdy może zgłosić potencjalne luki w naszych aplikacjach i otrzymać nagrody: https://t.co/UkzPFSVigy

— Komunikator telegramowy (@telegram) 9 kwietnia 2024 r

Jednak nie jest to pierwszy raz, kiedy zgłoszono lukę na platformie. W 2023 roku inżynier Google Dan Reva odkrył błąd, który może pomóc hakerom w aktywowaniu kamer i mikrofonu na laptopach z systemem macOS.

Telegram również niestrudzenie pracuje nad odkryciem i usunięciem luk w zabezpieczeniach swojej platformy. W aplikacji do przesyłania wiadomości istnieje od 2014 r. program nagród za błędy, oferujący badaczom i programistom możliwość zdobycia nagród o wartości do 100 000 dolarów za wykrycie problemów w aplikacji. Co więcej, aplikacja zachęca każdego, kto odkryje problemy w aplikacji, do ich zgłoszenia. „Każdy może zgłosić potencjalne luki w naszych aplikacjach i otrzymać nagrodę” – oznajmił Telegram.