Blockchain güvenlik firması CertiK, Telegram Messenger'da kullanıcıları kötü niyetli saldırılara maruz bırakan yeni bir güvenlik açığı olduğunu gösteren yeni bir rapor yayınladı. Güvenlik firması, X hakkındaki gönderisinde, bilgisayar korsanlarının Telegram'ın medya işlemesi yoluyla uzaktan kod yürütme (RCE) saldırısı dağıtmak için kullanabileceği güvenlik açığından bahsetti.

CertiK, Telegram'ın masaüstü uygulamasının güvenlik açığını ayrıntılarıyla anlatıyor

Gönderide, bilgisayar korsanlarının Telegram'ın masaüstü uygulamasındaki medya işleme özelliğinden yararlanarak RCE saldırısını gerçekleştirebilecekleri açıklandı. CertiK, kullanıcıların özel hazırlanmış medya dosyaları aracılığıyla bu kötü niyetli saldırılara maruz kalabileceğini kaydetti. CertiK, "Bu sorun, kullanıcıları resim veya video gibi özel hazırlanmış medya dosyaları aracılığıyla kötü niyetli saldırılara maruz bırakıyor" dedi.

#CertiKInsight ⚠️Ortalıkta yüksek riskli bir güvenlik açığı görüyoruz,Güvenliği artırmak için lütfen telgraf yapılandırmalarınızı kontrol edin!👇👇👇👇👇Telegram'ın Telegram Masaüstü uygulamasındaki medya işlemesinde olası RCE tespit edildi.Bu sorun, kullanıcıları…

- CertiK Uyarısı (@CertiKAlert) 9 Nisan 2024

CertiK sözcüsüne göre söz konusu güvenlik açığı yalnızca masaüstü uygulamasıyla sınırlı. Mobil uygulamanın, imza gerektiren masaüstünün aksine doğrudan çalıştırılabilir programları yürütmediğini belirtiyor. Sözcü ayrıca sorunu keşfedenin güvenlik topluluğu olduğunu da belirtti. CertiK, güvenlik açığından kaçınmak için kullanıcıları Telegram uygulamalarının masaüstü yapılandırmasındaki otomatik indirme özelliğini devre dışı bırakmaya çağırdı.

Kullanıcılar 'Ayarlar'a tıklayıp ardından 'Gelişmiş'i seçerek otomatik indirme özelliğini devre dışı bırakabilir. Otomatik medya indirme seçeneği açıldıktan sonra, tüm medya dosyalarında devre dışı bırakma düğmesini değiştirebilirler.

Güvenlik açıklarına yönelik müdahale ve önlemler

Telegram, piyasaya sürülmesinden bu yana oldukça başarılı olan bir mesajlaşma uygulamasıdır. Kripto dostu uygulama, kullanıcıların mesaj, resim, video ve Bitcoin ve Toncoin gibi dijital varlıkları alışverişinde bulunmalarına olanak tanıyor. Kullanıcıların kripto ile ilgili bu faaliyetleri Cüzdan adı verilen saklama cüzdanını kullanarak gerçekleştirmelerine olanak tanır. Platform, kendi kendini saklama konusunda hala yeşil olan kriptoya yeni başlayanlara yardımcı olmak için bir saklama cüzdanına sahip.

Telegram, X'teki güncellemeye hızlı bir şekilde yanıt vererek, söz konusu güvenlik açığının mevcut olmadığını kaydetti. "Böyle bir güvenlik açığının mevcut olduğunu doğrulayamıyoruz. Mesajlaşma uygulaması, bu videonun muhtemelen bir aldatmaca olduğunu belirtti.

Böyle bir güvenlik açığının mevcut olduğunu doğrulayamıyoruz. Bu video muhtemelen bir aldatmacadır. Herkes uygulamalarımızdaki potansiyel güvenlik açıklarını bildirebilir ve ödüller alabilir: https://t.co/UkzPFSVigy

- Telegram Messenger (@telegram) 9 Nisan 2024

Ancak platformda bir güvenlik açığının bildirilmesi ilk kez olmuyor. 2023 yılında Google mühendisi Dan Reva, bilgisayar korsanlarının macOS dizüstü bilgisayarlardaki kameraları ve mikrofonu etkinleştirmesine yardımcı olabilecek bir hata keşfetti.

Telegram ayrıca platformundaki güvenlik açıklarını keşfetmek ve gidermek için yorulmadan çalışıyor. Mesajlaşma uygulamasında, 2014'ten beri yürütülen ve araştırmacılara ve geliştiricilere, uygulamadaki sorunları keşfetmeleri karşılığında 100.000 dolara kadar ödüller kazanma fırsatları sunan bir hata ödül programı bulunuyor. Üstelik uygulama, uygulamada sorunlar keşfeden herkesi bunları bildirmeye çağırdı. Telegram, "Herkes uygulamalarımızdaki potansiyel güvenlik açıklarını bildirebilir ve ödül alabilir" dedi.