Telegram zaprzecza zgłoszeniu luki w aplikacji komputerowej i potwierdza, że ​​aplikacja mobilna nie jest dotknięta problemem bezpieczeństwa

CertiK, firma zajmująca się bezpieczeństwem Web3, stwierdziła, że ​​celem jej postów w mediach społecznościowych było podniesienie świadomości na temat problemu.

Telegram zaprzecza twierdzeniom, jakoby na jego platformie istniała luka, która mogłaby narazić użytkowników na ataki.

Informacje o podatnościach

Firma CertiK zajmująca się bezpieczeństwem Blockchain poinformowała 9 kwietnia, że ​​aplikacja komputerowa Telegrama zawiera lukę w zabezpieczeniach umożliwiającą zdalne wykonanie kodu (RCE) potencjalnie wysokiego ryzyka. Firma stwierdziła:

„W obsłudze multimediów w aplikacji komputerowej Telegram wykryto możliwy błąd RCE. Ten problem naraża użytkowników na ryzyko złośliwych ataków za pośrednictwem specjalnie spreparowanych plików multimedialnych, takich jak obrazy lub filmy”.

Według CertiK luka ta może pozwolić złośliwym aktorom na wysyłanie RCE do użytkowników, potencjalnie narażając ich na ataki z wykorzystaniem specjalnie spreparowanych plików multimedialnych.

Firma zajmująca się bezpieczeństwem wyjaśniła, że ​​luka dotyczy wyłącznie aplikacji komputerowych, które mogą uruchamiać programy zawarte w plikach. Nie ma to wpływu na aplikacje mobilne, ponieważ nie uruchamiają programów.

Ze względów bezpieczeństwa CertiK zaleca użytkownikom wyłączenie automatycznego pobierania w aplikacji komputerowej. Użytkownicy mogą dostosować ustawienia pobierania multimediów do ręcznego pobierania w ustawieniach aplikacji.

Odpowiedź Telegramu

W poście na platformie X Telegramu (dawniej Twitterze) z 9 kwietnia stwierdzono, że te popularne filmy są prawdopodobnie oszustwem, ponieważ na platformie nie ma takiej luki.

Mimo to platforma nalega, aby użytkownicy zgłaszali wszelkie zagrożenia lub potencjalne luki w swoich aplikacjach za pośrednictwem programu nagród za błędy.

Tymczasem rzecznik CertiK powiedział reporterom, że firma nie kontaktowała się z Telegramem, a wiadomość o luce przyszła od społeczności zajmującej się bezpieczeństwem. Dodał, że ponieważ mobilna wersja aplikacji do przesyłania wiadomości „nie uruchamia bezpośrednio programów wykonywalnych, takich jak komputer stacjonarny, co zwykle wymaga podpisu”, ta luka nie dotyczy jej.

CertiK stwierdził ponadto, że jego posty w mediach społecznościowych dotyczące luk mają na celu podniesienie świadomości na temat potencjalnych problemów i przypomnienie użytkownikom o konieczności podjęcia naprawczych środków ochronnych. #Telegram #漏洞