Công ty bảo mật chuỗi khối CertiK đã phát hành một báo cáo mới cho thấy có một lỗ hổng mới trên Telegram Messenger khiến người dùng có thể bị tấn công độc hại. Trong bài đăng của mình trên X, công ty bảo mật đã đề cập đến lỗ hổng mà tin tặc có thể sử dụng để triển khai một cuộc tấn công thực thi mã từ xa (RCE) thông qua quá trình xử lý phương tiện của Telegram.

CertiK nêu chi tiết lỗ hổng của ứng dụng máy tính để bàn của Telegram

Bài đăng làm rõ rằng tin tặc có thể lợi dụng việc xử lý phương tiện trên ứng dụng máy tính để bàn của Telegram, từ đó triển khai cuộc tấn công RCE. CertiK lưu ý rằng người dùng có thể gặp phải các cuộc tấn công độc hại này thông qua các tệp phương tiện được tạo đặc biệt. CertiK cho biết: “Vấn đề này khiến người dùng có nguy cơ bị tấn công độc hại thông qua các tệp phương tiện được tạo ra đặc biệt, chẳng hạn như hình ảnh hoặc video”.

#CertiKInsight ⚠️Chúng tôi thấy một lỗ hổng có nguy cơ cao đang xảy ra, Vui lòng kiểm tra cấu hình telegram của bạn để cải thiện bảo mật!👇👇👇👇👇Đã phát hiện thấy RCE có thể xảy ra trong quá trình xử lý phương tiện của Telegram trong ứng dụng Telegram Desktop. Sự cố này khiến người dùng có nguy cơ bị tấn công độc hại thông qua…

- Cảnh báo CertiK (@CertiKAlert) Ngày 9 tháng 4 năm 2024

Theo người phát ngôn của CertiK, lỗ hổng nói trên chỉ giới hạn ở ứng dụng máy tính để bàn. Ông lưu ý rằng ứng dụng di động không thực hiện trực tiếp các chương trình thực thi không giống như máy tính để bàn yêu cầu chữ ký. Người phát ngôn cũng lưu ý rằng chính cộng đồng bảo mật đã phát hiện ra vấn đề. Để tránh lỗ hổng này, CertiK kêu gọi người dùng tắt tính năng tự động tải xuống trong cấu hình máy tính để bàn của ứng dụng Telegram của họ.

Người dùng có thể tắt tính năng tự động tải xuống bằng cách nhấp vào 'Cài đặt' rồi chọn 'Nâng cao'. Sau khi tùy chọn tải xuống phương tiện tự động bật lên, họ có thể chuyển nút tắt trên tất cả các tệp phương tiện.

Phản ứng và biện pháp giải quyết các lỗ hổng

Telegram là một ứng dụng nhắn tin đã đạt được khá thành công kể từ khi ra mắt. Ứng dụng thân thiện với tiền điện tử cho phép người dùng trao đổi tin nhắn, hình ảnh, video và tài sản kỹ thuật số như Bitcoin và Toncoin. Nó cho phép người dùng thực hiện các hoạt động liên quan đến tiền điện tử này thông qua việc sử dụng ví lưu ký có tên là Wallet. Nền tảng này nắm giữ một ví tiền giám hộ để giúp những người mới sử dụng tiền điện tử, những người vẫn còn xanh khi tự quản lý.

Telegram nhanh chóng trả lời bản cập nhật trên X, lưu ý rằng lỗ hổng nói trên không tồn tại. “Chúng tôi không thể xác nhận rằng lỗ hổng như vậy có tồn tại. Video này có thể là một trò lừa bịp”, ứng dụng nhắn tin cho biết.

Chúng tôi không thể xác nhận rằng lỗ hổng như vậy có tồn tại. Video này có thể là một trò lừa bịp. Bất kỳ ai cũng có thể báo cáo các lỗ hổng tiềm ẩn trong ứng dụng của chúng tôi và nhận phần thưởng: https://t.co/UkzPFSVigy

- Telegram Messenger (@telegram) Ngày 9 tháng 4 năm 2024

Tuy nhiên, đây không phải là lần đầu tiên một lỗ hổng được báo cáo trên nền tảng này. Vào năm 2023, kỹ sư Dan Reva của Google đã phát hiện ra một lỗi có thể hỗ trợ tin tặc kích hoạt camera và micrô trên máy tính xách tay macOS.

Telegram cũng đã làm việc không mệt mỏi để khám phá và giải quyết các lỗ hổng trên nền tảng của mình. Ứng dụng nhắn tin này có chương trình thưởng lỗi đã hoạt động từ năm 2014, mang đến cơ hội cho các nhà nghiên cứu và nhà phát triển kiếm được phần thưởng lên tới 100.000 USD khi phát hiện ra các vấn đề trên ứng dụng. Hơn nữa, ứng dụng đã kêu gọi bất kỳ ai phát hiện ra sự cố trên ứng dụng hãy báo cáo chúng. Telegram cho biết: “Bất kỳ ai cũng có thể báo cáo các lỗ hổng tiềm ẩn trong ứng dụng của chúng tôi và nhận được phần thưởng”.