La firma de seguridad blockchain CertiK publicó un nuevo informe que revela una nueva vulnerabilidad en Telegram Messenger que expone a los usuarios a ataques maliciosos. En su publicación en X, la firma mencionó la vulnerabilidad que los hackers podrían usar para implementar un ataque de ejecución remota de código (RCE) a través del procesamiento multimedia de Telegram.
CertiK detalla la vulnerabilidad de la aplicación de escritorio de Telegram
La publicación aclaró que los hackers podrían aprovechar el procesamiento multimedia de la aplicación de escritorio de Telegram, implementando así el ataque RCE. CertiK señaló que los usuarios podrían estar expuestos a estos ataques maliciosos a través de archivos multimedia creados específicamente para ello. «Este problema expone a los usuarios a ataques maliciosos mediante archivos multimedia especialmente creados, como imágenes o vídeos», declaró CertiK.
Según un portavoz de CertiK, dicha vulnerabilidad se limita únicamente a la aplicación de escritorio. Señala que la aplicación móvil no ejecuta programas directamente, a diferencia de la de escritorio, que requiere firmas. El portavoz también indicó que fue la comunidad de seguridad la que descubrió el problema. Para evitar la vulnerabilidad, CertiK instó a los usuarios a desactivar la función de descarga automática en la configuración de escritorio de su aplicación de Telegram.
Los usuarios pueden desactivar la función de descarga automática haciendo clic en "Configuración" y seleccionando "Avanzado". Una vez que aparezca la opción de descargamatic de medios, pueden desactivarla en todos los archivos multimedia.
Telegram etiqueta la alerta como un engaño en medio de medidas para abordar las vulnerabilidades
Telegram es una aplicación de mensajería que ha enj un gran éxito desde su lanzamiento. Esta aplicación, compatible con criptomonedas, permite a los usuarios intercambiar mensajes, imágenes, vídeos y activos digitales como Bitcoin y Toncoin. Permite a los usuarios realizar estas actividades relacionadas con las criptomonedas mediante un servicio de monedero de custodia externo llamado Wallet. La plataforma cuenta con un monedero de custodia para ayudar a quienes se inician en el mundo de las criptomonedas y aún no tienen experiencia en la autocustodia.
Telegram respondió rápidamente a la actualización sobre X, señalando que dicha vulnerabilidad es inexistente. "No podemos confirmar su existencia. Es probable que este vídeo sea un engaño", declaró la aplicación de mensajería.
Sin embargo, no es la primera vez que se reporta una vulnerabilidad en la plataforma. En 2023, el ingeniero de Google, Dan Reva, descubrió un error que podría facilitar a los hackers la activación de las cámaras y el micrófono en portátiles macOS.
Telegram también ha trabajado incansablemente para descubrir y solucionar vulnerabilidades en su plataforma. La aplicación de mensajería cuenta con un programa que lleva en funcionamiento desde 2014 y que ofrece a investigadores y desarrolladores la oportunidad de ganar recompensas de hasta 100.000 dólares por descubrir problemas en la aplicación. Además, la aplicación ha instado a cualquiera que descubra problemas a que los reporte. «Cualquiera puede reportar posibles vulnerabilidades en nuestras aplicaciones y obtener una recompensa», declaró Telegram.
