區塊鏈安全公司 CertiK 發佈了一份新報告,顯示 Telegram Messenger 上存在一個新漏洞,該漏洞使用戶面臨惡意攻擊。該安全公司在其關於 X 的帖子中提到,黑客可以利用該漏洞通過 Telegram 的媒體處理部署遠程代碼執行 (RCE) 攻擊。
CertiK 詳細介紹了 Telegram 桌面應用程序的漏洞
該帖子澄清說,黑客可以利用 Telegram 桌面應用程序上的媒體處理功能,從而部署 RCE 攻擊。CertiK 指出,用戶可能會通過特製的媒體文件遭受這些惡意攻擊。CertiK 表示:“此問題使用戶通過特製的媒體文件(例如圖像或視頻)遭受惡意攻擊。”
#CertiKInsight ⚠️我們發現一個高危漏洞,請檢查您的電報配置以提高安全性!👇👇👇👇👇在 Telegram 桌面應用程序中的 Telegram 媒體處理中檢測到可能的 RCE。此問題通過以下方式將用戶暴露給惡意攻擊……
— CertiK Alert (@CertiKAlert) 2024 年 4 月 9 日
CertiK 發言人表示,該漏洞僅限於桌面應用程序。他指出,與需要簽名的桌面應用程序不同,移動應用程序不會直接執行可執行程序。發言人還指出,是安全社區發現了這個問題。爲了避免該漏洞,CertiK 敦促用戶在 Telegram 應用程序的桌面配置中禁用自動下載功能。
用戶可以通過點擊“設置”然後選擇“高級”來禁用自動下載功能。自動媒體下載選項彈出後,他們可以在所有媒體文件上切換禁用按鈕。
應對措施和解決脆弱性
Telegram 是一款自推出以來就大獲成功的即時通訊應用程序。這款加密貨幣友好型應用程序允許用戶交換消息、圖片、視頻和比特幣和 Toncoin 等數字資產。它允許用戶通過使用名爲 Wallet 的託管錢包執行這些與加密貨幣相關的活動。該平臺擁有一個託管錢包,以幫助在自我託管方面仍不成熟的加密貨幣新手。
Telegram 迅速回復了 X 的更新,指出所述漏洞並不存在。“我們無法確認是否存在這樣的漏洞。這個視頻很可能是個騙局,”該消息應用程序表示。
我們無法確認是否存在此類漏洞。此視頻很可能是騙局。任何人都可以報告我們應用中的潛在漏洞並獲得獎勵:https://t.co/UkzPFSVigy
— Telegram Messenger (@telegram) 2024 年 4 月 9 日
然而,這並不是該平臺第一次出現漏洞。2023 年,谷歌工程師 Dan Reva 發現了一個漏洞,該漏洞可以幫助黑客激活 macOS 筆記本電腦上的攝像頭和麥克風。
Telegram 也一直在不懈地努力發現和解決其平臺上的漏洞。這款消息應用程序有一個漏洞賞金計劃,該計劃自 2014 年以來一直在運行,爲研究人員和開發人員提供機會,以發現應用程序上的問題,獲得高達 10 萬美元的獎勵。此外,該應用程序還敦促任何發現應用程序問題的人報告這些問題。“任何人都可以報告我們應用程序中的潛在漏洞並獲得獎勵,”Telegram 表示。
