Telegram phủ nhận lỗ hổng được báo cáo trong ứng dụng máy tính để bàn, xác nhận ứng dụng di động không bị ảnh hưởng bởi vấn đề bảo mật

Công ty bảo mật Web3 CertiK cho biết mục đích của các bài đăng trên mạng xã hội của họ là nâng cao nhận thức về vấn đề này.

Telegram đã bác bỏ tuyên bố rằng có một lỗ hổng tồn tại trên nền tảng của nó có thể khiến người dùng bị tấn công.

Thông tin về các lỗ hổng

Công ty bảo mật chuỗi khối CertiK cho biết vào ngày 9 tháng 4 rằng ứng dụng máy tính để bàn của Telegram có lỗ hổng thực thi mã từ xa (RCE) có nguy cơ rủi ro cao. Công ty tuyên bố:

“RCE có thể đã được phát hiện trong quá trình xử lý phương tiện của ứng dụng máy tính để bàn Telegram. Sự cố này khiến người dùng có nguy cơ bị tấn công độc hại thông qua các tệp phương tiện được chế tạo đặc biệt, chẳng hạn như hình ảnh hoặc video.”

Theo CertiK, lỗ hổng này có thể cho phép các tác nhân độc hại gửi RCE cho người dùng, có khả năng khiến họ bị tấn công bằng các tệp phương tiện được chế tạo đặc biệt.

Công ty bảo mật làm rõ rằng lỗ hổng này chỉ giới hạn ở các ứng dụng máy tính để bàn có thể thực thi các chương trình có trong tệp. Các ứng dụng di động không bị ảnh hưởng vì chúng không thực thi chương trình.

Vì lý do bảo mật, CertiK khuyến nghị người dùng nên tắt tính năng tải xuống tự động trên ứng dụng máy tính để bàn. Người dùng có thể điều chỉnh cài đặt tải xuống phương tiện thành tải xuống thủ công trong cài đặt của ứng dụng.

Phản hồi của Telegram

Trong một bài đăng trên nền tảng X của Telegram (trước đây là Twitter) vào ngày 9 tháng 4, người ta đã tuyên bố rằng những video phổ biến này có khả năng là lừa đảo vì không có lỗ hổng nào như vậy tồn tại trên nền tảng của nó.

Tuy nhiên, nền tảng này kêu gọi người dùng báo cáo mọi mối đe dọa hoặc lỗ hổng tiềm ẩn trong ứng dụng của mình thông qua chương trình tiền thưởng lỗi.

Trong khi đó, người phát ngôn của CertiK nói với các phóng viên rằng công ty chưa liên lạc với Telegram và tin tức về lỗ hổng này đến từ cộng đồng bảo mật. Ông nói thêm rằng vì phiên bản di động của ứng dụng nhắn tin “không trực tiếp thực thi các chương trình thực thi như máy tính để bàn, vốn thường yêu cầu chữ ký”, nên nó không bị ảnh hưởng bởi lỗ hổng này.

CertiK tuyên bố thêm rằng các bài đăng trên mạng xã hội của họ về các lỗ hổng nhằm mục đích nâng cao nhận thức về các vấn đề tiềm ẩn và nhắc nhở người dùng thực hiện các biện pháp bảo vệ khắc phục. #Telegram #漏洞