Telegram исправляет уязвимость камеры и улучшает безопасность macOS

Приложение для обмена сообщениями Telegram преуменьшает серьезность обнаруженного эксплойта, который позволил исследователям получить доступ к системам камер пользователей Apple macOS.

Инженер-программист Дэн Рева отметил эксплойт в сообщении в блоге 15 мая, описав метод, который позволил ему получить локальное повышение привилегий для доступа к камере пользователя macOS с помощью разрешений, ранее предоставленных установленному приложению Telegram.

Внедряя Dynamic Library в систему пользователя, эксплойт позволит записывать с камеры устройства и сохранять файл. Revah также утверждает, что эксплойт позволяет злоумышленнику обойти «песочницу» терминала с помощью LaunchAgent. Злоумышленник также сможет получить больше привилегий в системе, получив доступ к областям с ограниченной конфиденциальностью.

Связанный: интеграция TON Telegram подчеркивает синергию сообщества блокчейн

Коинтелеграф обратился к Telegram, чтобы выяснить, рассмотрела ли его команда проблемы, поднятые Ревой, и серьезность выявленного эксплойта. Представитель Telegram Реми Вон сказал, что пользователи Telegram по умолчанию не подвергаются риску, поскольку эксплойт требует установки вредоносного ПО в их системах:

«Эта ситуация больше связана с безопасностью разрешений Apple, чем с Telegram, и в результате потенциально может повлиять на любое приложение macOS. Настоящая проблема заключается в том, что кажется возможным обойти ограничения песочницы Apple, которые были созданы специально для предотвращения такого злоупотребления сторонними приложениями».

Вон сказал, что в Telegram были внесены изменения, которые сейчас ожидают одобрения в App Store. Он также добавил, что пользователи, скачавшие приложение Telegram непосредственно с веб-сайта приложения для обмена сообщениями, не подвергались риску.

Коинтелеграф обратился к Apple за официальным комментарием относительно эксплойта.

Telegram выпустил обновление в декабре 2022 года, которое позволяет пользователям создавать учетные записи, используя анонимные номера на основе блокчейна, чтобы повысить конфиденциальность и безопасность.

Эта функция требует, чтобы пользователи покупали анонимные номера на основе блокчейна на децентрализованной аукционной платформе Fragment. Имена пользователей и анонимные номера, продаваемые на платформе, совместимы только с Telegram и покупаются и продаются с использованием собственных токенов Open Network (TON) приложения.

Основатель Telegram Павел Дуров указал, что платформа будет создавать множество децентрализованных инструментов и сервисов в ноябре 2022 года, после краха криптовалютной биржи FTX Сэма Бэнкмана-Фрида.