Фірма безпеки блокчейну CertiK опублікувала новий звіт, який показує, що в Telegram Messenger є нова вразливість, яка наражає користувачів на зловмисні атаки. У своїй публікації на X охоронна фірма згадала про вразливість, яку хакери можуть використати для розгортання атаки віддаленого виконання коду (RCE) через обробку медіафайлів Telegram.

CertiK докладно описує вразливість настільного додатка Telegram

У дописі пояснюється, що хакери можуть скористатися обробкою медіа в настільному додатку Telegram, таким чином розгорнувши RCE-атаку. CertiK зазначив, що користувачі можуть піддаватися цим зловмисним атакам через спеціально створені медіафайли. «Ця проблема піддає користувачів зловмисним атакам через спеціально створені мультимедійні файли, такі як зображення або відео», — сказав CertiK.

#CertiKInsight ⚠️Ми бачимо вразливість із високим рівнем ризику. Будь ласка, перевірте конфігурації телеграм, щоб покращити безпеку!👇👇👇👇👇Можливий RCE було виявлено в обробці мультимедійних даних Telegram у програмі Telegram Desktop. Ця проблема наражає користувачів на зловмисні атаки через…

— Сповіщення CertiK (@CertiKAlert) 9 квітня 2024 р

За словами представника CertiK, зазначена вразливість обмежена лише настільною програмою. Він зазначає, що мобільний додаток не виконує безпосередньо виконувані програми, на відміну від десктопного, для якого потрібні підписи. Речник також зазначив, що проблему виявила спільнота безпеки. Щоб уникнути вразливості, CertiK закликав користувачів вимкнути функцію автоматичного завантаження в конфігурації робочого столу свого додатка Telegram.

Користувачі можуть вимкнути функцію автоматичного завантаження, натиснувши «Налаштування», а потім вибравши «Додатково». Коли з’явиться опція автоматичного завантаження медіафайлів, вони можуть перемикати кнопку вимкнення для всіх медіафайлів.

Реагування та заходи щодо усунення вразливостей

Telegram — програма для обміну повідомленнями, яка користується успіхом з моменту свого запуску. Криптодружній додаток дозволяє користувачам обмінюватися повідомленнями, зображеннями, відео та цифровими активами, такими як Bitcoin і Toncoin. Він дозволяє користувачам виконувати ці дії, пов’язані з криптовалютою, за допомогою свого опікунського гаманця під назвою Wallet. На платформі є гаманець для опіки, щоб допомогти новачкам криптовалюти, які все ще є зеленими, коли справа доходить до самостійної опіки.

Telegram оперативно відповів на оновлення X, зазначивши, що згадана вразливість не існує. «Ми не можемо підтвердити, що така вразливість існує. Це відео, ймовірно, обман», – йдеться в повідомленні програми обміну повідомленнями.

Ми не можемо підтвердити, що така вразливість існує. Це відео, ймовірно, обман. Будь-хто може повідомити про потенційні вразливості в наших програмах і отримати винагороду: https://t.co/UkzPFSVigy

— Месенджер Telegram (@telegram) 9 квітня 2024 р

Однак це не перший раз, коли на платформі повідомляють про вразливість. У 2023 році інженер Google Ден Рева виявив помилку, яка могла допомогти хакерам активувати камери та мікрофон на ноутбуках macOS.

Telegram також невпинно працює над виявленням і усуненням вразливостей на своїй платформі. Додаток для обміну повідомленнями має програму винагороди за помилки, яка працює з 2014 року і пропонує дослідникам і розробникам можливість отримати винагороду до 100 000 доларів США за виявлення проблем у програмі. Крім того, програма закликала всіх, хто виявляє проблеми в додатку, повідомляти про них. «Будь-хто може повідомити про потенційні вразливості в наших додатках і отримати винагороду», — повідомили в Telegram.