Telegram отрицает сообщение об уязвимости в настольном приложении и подтверждает, что мобильное приложение не подвержено проблемам безопасности

Компания CertiK, занимающаяся безопасностью Web3, заявила, что целью ее публикаций в социальных сетях было повышение осведомленности об этой проблеме.

Telegram опроверг утверждения о том, что на его платформе существует уязвимость, которая может подвергнуть пользователей атакам.

Информация об уязвимостях

Компания CertiK, занимающаяся безопасностью блокчейнов, заявила 9 апреля, что настольное приложение Telegram имеет потенциально высокую уязвимость удаленного выполнения кода (RCE). Компания заявила:

«Возможный RCE был обнаружен при обработке мультимедиа в настольном приложении Telegram. Эта проблема подвергает пользователей риску злонамеренных атак через специально созданные медиафайлы, такие как изображения или видео».

По мнению CertiK, эта уязвимость может позволить злоумышленникам отправлять пользователям RCE, потенциально подвергая их атакам с использованием специально созданных медиафайлов.

Охранная фирма уточнила, что уязвимость ограничена настольными приложениями, которые могут выполнять программы, содержащиеся в файлах. Мобильные приложения не затрагиваются, поскольку они не выполняют программы.

По соображениям безопасности CertiK рекомендует пользователям отключать автоматическую загрузку в настольном приложении. Пользователи могут настроить параметры загрузки мультимедиа для загрузки вручную в настройках приложения.

Ответ телеграма

В сообщении на платформе Telegram X (ранее Twitter) от 9 апреля было заявлено, что эти популярные видео, скорее всего, являются мошенничеством, поскольку на их платформе такой уязвимости не существует.

Тем не менее, платформа призывает пользователей сообщать о любых угрозах или потенциальных уязвимостях в ее приложениях через программу вознаграждения за ошибки.

Между тем, представитель CertiK сообщил журналистам, что компания не связывалась с Telegram и что новости об уязвимости поступили от сообщества безопасности. Он добавил, что, поскольку мобильная версия приложения для обмена сообщениями «не запускает исполняемые программы напрямую, как настольная версия, для которой обычно требуется подпись», эта уязвимость не затрагивает ее.

CertiK далее заявила, что ее сообщения в социальных сетях об уязвимостях призваны повысить осведомленность о потенциальных проблемах и напомнить пользователям о необходимости принятия корректирующих защитных мер. #Telegram #漏洞