Приложение для обмена сообщениями Telegram преуменьшает серьезность обнаруженного эксплойта, который позволил исследователям получить доступ к системам камер пользователей Apple macOS.
Инженер-программист Дэн Рева отметил эксплойт в сообщении в блоге 15 мая, описав метод, который позволил ему получить локальное повышение привилегий для доступа к камере пользователя macOS с помощью разрешений, ранее предоставленных установленному приложению Telegram.
Внедряя Dynamic Library в систему пользователя, эксплойт позволит записывать с камеры устройства и сохранять файл. Revah также утверждает, что эксплойт позволяет злоумышленнику обойти «песочницу» терминала с помощью LaunchAgent. Злоумышленник также сможет получить больше привилегий в системе, получив доступ к областям с ограниченной конфиденциальностью.
Связанный: интеграция TON Telegram подчеркивает синергию сообщества блокчейн
Коинтелеграф обратился к Telegram, чтобы выяснить, рассмотрела ли его команда проблемы, поднятые Ревой, и серьезность выявленного эксплойта. Представитель Telegram Реми Вон сказал, что пользователи Telegram по умолчанию не подвергаются риску, поскольку эксплойт требует установки вредоносного ПО в их системах:
«Эта ситуация больше связана с безопасностью разрешений Apple, чем с Telegram, и в результате потенциально может повлиять на любое приложение macOS. Настоящая проблема заключается в том, что кажется возможным обойти ограничения песочницы Apple, которые были созданы специально для предотвращения такого злоупотребления сторонними приложениями».
Вон сказал, что в Telegram были внесены изменения, которые сейчас ожидают одобрения в App Store. Он также добавил, что пользователи, скачавшие приложение Telegram непосредственно с веб-сайта приложения для обмена сообщениями, не подвергались риску.
Коинтелеграф обратился к Apple за официальным комментарием относительно эксплойта.
Telegram выпустил обновление в декабре 2022 года, которое позволяет пользователям создавать учетные записи, используя анонимные номера на основе блокчейна, чтобы повысить конфиденциальность и безопасность.
Эта функция требует, чтобы пользователи покупали анонимные номера на основе блокчейна на децентрализованной аукционной платформе Fragment. Имена пользователей и анонимные номера, продаваемые на платформе, совместимы только с Telegram и покупаются и продаются с использованием собственных токенов Open Network (TON) приложения.
Основатель Telegram Павел Дуров указал, что платформа будет создавать множество децентрализованных инструментов и сервисов в ноябре 2022 года, после краха криптовалютной биржи FTX Сэма Бэнкмана-Фрида.