Компания CertiK, занимающаяся безопасностью блокчейнов, опубликовала новый отчет, показывающий, что в Telegram Messenger существует новая уязвимость, которая подвергает пользователей вредоносным атакам. В своем сообщении на X охранная фирма упомянула об уязвимости, которую хакеры могут использовать для развертывания атаки удаленного выполнения кода (RCE) через обработку мультимедиа Telegram.
CertiK подробно описывает уязвимость настольного приложения Telegram
В сообщении поясняется, что хакеры могут воспользоваться преимуществами обработки мультимедиа в настольном приложении Telegram, тем самым развернув атаку RCE. В CertiK отметили, что пользователи могут подвергнуться этим вредоносным атакам через специально созданные медиафайлы. «Эта проблема подвергает пользователей вредоносным атакам через специально созданные медиафайлы, такие как изображения или видео», — заявили в CertiK.
#CertiKInsight ⚠️Мы видим уязвимость высокого риска. Пожалуйста, проверьте настройки Telegram, чтобы повысить безопасность!👇👇👇👇👇При обработке мультимедиа Telegram в приложении Telegram Desktop был обнаружен возможный RCE. Эта проблема подвергает пользователей вредоносным атакам через…
– Оповещение CertiK (@CertiKAlert) 9 апреля 2024 г.
По словам представителя CertiK, указанная уязвимость ограничивается только настольным приложением. Он отмечает, что мобильное приложение не выполняет напрямую исполняемые программы в отличие от десктопного, требующего подписи. Представитель также отметил, что проблему обнаружило сообщество безопасности. Чтобы избежать уязвимости, CertiK призвала пользователей отключить функцию автоматической загрузки в конфигурации рабочего стола своего приложения Telegram.
Пользователи могут отключить функцию автоматической загрузки, нажав «Настройки» и выбрав «Дополнительно». После того, как появится опция автоматической загрузки мультимедиа, они смогут переключить кнопку отключения для всех медиафайлов.
Реагирование и меры по устранению уязвимостей
Telegram — это мессенджер, который пользуется большим успехом с момента своего запуска. Крипто-дружественное приложение позволяет пользователям обмениваться сообщениями, изображениями, видео и цифровыми активами, такими как биткойны и Toncoin. Он позволяет пользователям выполнять эти действия, связанные с криптовалютой, с помощью своего депозитарного кошелька под названием Wallet. Платформа имеет кастодиальный кошелек, который помогает новичкам в криптовалюте, которые все еще неопытны в вопросах самостоятельного хранения.
Telegram быстро ответил на обновление X, отметив, что указанной уязвимости не существует. «Мы не можем подтвердить, что такая уязвимость существует. Скорее всего, это видео — розыгрыш», — заявили в мессенджере.
Мы не можем подтвердить существование такой уязвимости. Скорее всего, это видео — розыгрыш. Любой может сообщить о потенциальных уязвимостях в наших приложениях и получить вознаграждение: https://t.co/UkzPFSVigy.
— Telegram Messenger (@telegram) 9 апреля 2024 г.
Однако это не первый случай сообщения об уязвимости на платформе. В 2023 году инженер Google Дэн Рева обнаружил ошибку, которая могла помочь хакерам активировать камеры и микрофон на ноутбуках MacOS.
Telegram также неустанно работает над обнаружением и устранением уязвимостей на своей платформе. В приложении для обмена сообщениями есть программа вознаграждения за обнаружение ошибок, которая действует с 2014 года и предлагает исследователям и разработчикам возможность заработать вознаграждение в размере до 100 000 долларов США за обнаружение проблем в приложении. Более того, приложение призывает всех, кто обнаруживает проблемы в приложении, сообщать о них. «Любой может сообщить о потенциальных уязвимостях в наших приложениях и получить вознаграждение», — заявили в Telegram.
