Telegram Розслідує Експлойт Камери, Заподіяно Недостатні Дозволи Безпеки для Apple macOS

Програма обміну повідомленнями Telegram зменшила серйозність виявленого експлойту, який дозволив дослідникам отримати доступ до систем камер користувачів Apple macOS.

Інженер-програміст Ден Ревах позначив експлойт у дописі в блозі 15 травня, описавши метод, який дозволив йому отримати локальну ескалацію привілеїв для доступу до камери користувача macOS через дозволи, надані раніше встановленій програмі Telegram.

Впровадивши Dynamic Library у систему користувача, експлойт дозволить записувати з камери пристрою та мати можливість зберегти файл. Revah також стверджує, що експлойт дозволяє зловмиснику обійти пісочницю терміналу за допомогою LaunchAgent. Зловмисник також зможе отримати більше привілеїв у системі, отримавши доступ до зон із обмеженим доступом до конфіденційності.

За темою: інтеграція TON Telegram підкреслює синергію блокчейн-спільноти

Cointelegraph зв’язався з Telegram, щоб з’ясувати, чи впоралася його команда з проблемами, висловленими Revah, і про серйозність виявленого експлойту. Прес-секретар Telegram Ремі Вон сказав, що користувачі Telegram за замовчуванням не знаходяться в зоні ризику, оскільки експлойт вимагає встановлення шкідливого програмного забезпечення в їхніх системах:

«Ця ситуація більше пов’язана з безпекою дозволів Apple, ніж з Telegram, і в результаті може потенційно вплинути на будь-який додаток macOS. Справжня проблема полягає в тому, що здається можливим обійти обмеження пісочниці Apple, які були створені спеціально для запобігання такому зловживанню програмами сторонніх розробників».

Вон сказав, що Telegram вніс зміни, які зараз очікують на схвалення App Store. Він також додав, що користувачі, які завантажили додаток Telegram безпосередньо з веб-сайту програми для обміну повідомленнями, не ризикують.

Cointelegraph звернувся до Apple за офіційним коментарем щодо експлойту.

У грудні 2022 року Telegram випустив оновлення, яке дозволяє користувачам створювати облікові записи за допомогою анонімних номерів на основі блокчейну, щоб підвищити конфіденційність і безпеку.

Ця функція вимагає від користувачів купувати анонімні номери на базі блокчейну на платформі децентралізованого аукціону Fragment. Імена користувачів і анонімні номери, які продаються на платформі, сумісні лише з Telegram і купуються та продаються за допомогою власних токенів програми The Open Network (TON).

Засновник Telegram Павло Дуров зазначив, що платформа створюватиме безліч децентралізованих інструментів і сервісів у листопаді 2022 року після краху криптовалютної біржі FTX Сема Бенкмана-Фріда.