Приложение для обмена сообщениями Telegram преуменьшило серьезность обнаруженного эксплойта, который позволил исследователям получить доступ к системам камер устройств Apple macOS.
Инженер-программист Дэн Рева отметил эксплойт в своем блоге 15 мая, описав метод, позволяющий ему получить локальное повышение привилегий для доступа к камере пользователя macOS с помощью разрешений, ранее предоставленных установленному приложению Telegram.
Внедрив динамическую библиотеку в систему пользователя, эксплойт позволит осуществлять запись с камеры устройства и сохранять файл. Рева также утверждает, что эксплойт позволяет злоумышленнику обойти «песочницу» терминала с помощью агента запуска. Злоумышленник также может получить больше привилегий к системе, получив доступ к областям с ограниченным доступом к конфиденциальности.
Коинтелеграф связался с Telegram, чтобы подтвердить, устранила ли его команда опасения, поднятые Ревой, и выяснить серьезность выявленного эксплойта. Представитель Telegram Реми Вон заявил, что пользователи Telegram по умолчанию не подвергаются риску, поскольку эксплойт требует установки вредоносного ПО в их системах:
«Эта ситуация больше связана с безопасностью разрешений Apple, чем с Telegram, и в результате потенциально может повлиять на любое приложение macOS. Реальная проблема заключается в том, что, похоже, можно обойти ограничения Apple в песочнице, которые были созданы специально для предотвращения такого злоупотребления сторонними приложениями».
Вон сказал, что Telegram внес изменения, получившие одобрение Apple App Store поздно вечером 16 мая. Он также добавил, что пользователи, загрузившие приложение Telegram непосредственно с веб-сайта приложения для обмена сообщениями, не подвергаются риску.
Cointelegraph обратился к Apple за официальным комментарием по поводу эксплойта.
В декабре 2022 года Telegram выпустил обновление, позволяющее пользователям создавать учетные записи, используя анонимные номера на основе блокчейна, для повышения конфиденциальности и безопасности.
Эта функция требует, чтобы пользователи приобретали анонимные номера на базе блокчейна на децентрализованной аукционной платформе Fragment. Имена пользователей и анонимные номера, продаваемые на платформе, совместимы только с Telegram и покупаются и продаются с использованием собственных токенов The Open Network (TON) приложения.
В ноябре 2022 года основатель Telegram Павел Дуров заявил, что платформа будет создавать множество децентрализованных инструментов и сервисов после краха криптовалютной биржи FTX Сэма Бэнкмана-Фрида.
