Blockchain CertiK a publié un nouveau rapport montrant qu'il existe une nouvelle vulnérabilité sur Telegram Messenger qui expose les utilisateurs à des attaques malveillantes. Dans son article sur X, la société de sécurité a mentionné la vulnérabilité que les pirates pourraient utiliser pour déployer une attaque d'exécution de code à distance (RCE) via le traitement multimédia de Telegram.
CertiK détaille la vulnérabilité de l'application de bureau de Telegram
Le message précise que les pirates pourraient profiter du traitement multimédia sur l'application de bureau de Telegram, déployant ainsi l'attaque RCE. CertiK a noté que les utilisateurs pourraient être exposés à ces attaques malveillantes via des fichiers multimédias spécialement créés. "Ce problème expose les utilisateurs à des attaques malveillantes via des fichiers multimédias spécialement conçus, tels que des images ou des vidéos", a déclaré CertiK.
Selon un porte-parole de CertiK, cette vulnérabilité est limitée à l'application de bureau. Il note que l'application mobile n'exécute pas directement les programmes exécutables contrairement au bureau qui nécessite des signatures. Le porte-parole a également souligné que c'était la communauté de la sécurité qui avait découvert le problème. Pour éviter cette vulnérabilité, CertiK a exhorté les utilisateurs à désactiver la fonction de téléchargement automatique dans la configuration du bureau de leur application Telegram.
Les utilisateurs peuvent désactiver la fonction de téléchargement automatique en cliquant sur « Paramètres », puis en sélectionnant « Avancé ». Une fois l’option de téléchargement matic des médias apparue, ils peuvent activer le bouton de désactivation sur tous les fichiers multimédias.
Telegram qualifie l'alerte de canular au milieu des mesures visant à remédier aux vulnérabilités
Telegram est une application de messagerie qui enj un certain succès depuis son lancement. L'application crypto-friendly permet aux utilisateurs d'échanger des messages, des images, des vidéos et des actifs numériques comme Bitcoin et Toncoin. Il permet aux utilisateurs d'effectuer ces activités liées à la cryptographie grâce à l'utilisation d'un service de portefeuille de conservation tiers appelé Wallet. La plate-forme dispose d'un portefeuille de garde pour aider les débutants en cryptographie qui sont encore verts en matière d'auto-garde.
Telegram a rapidement répondu à la mise à jour sur X, notant que ladite vulnérabilité est inexistante. « Nous ne pouvons pas confirmer qu'une telle vulnérabilité existe. Cette vidéo est probablement un canular », a déclaré l’application de messagerie.
Ce n’est cependant pas la première fois qu’une vulnérabilité est signalée sur la plateforme. En 2023, l'ingénieur Google Dan Reva a découvert un bug qui pourrait aider les pirates informatiques à activer les caméras et le microphone sur les ordinateurs portables macOS.
Telegram a également travaillé sans relâche pour découvrir et corriger les vulnérabilités de sa plateforme. programme de bug bounty qui fonctionne depuis 2014, offrant aux chercheurs et aux développeurs la possibilité de gagner des récompenses allant jusqu'à 100 000 $ pour la découverte de problèmes sur l'application. De plus, l’application a exhorté toute personne découvrant des problèmes sur l’application à les signaler. "N'importe qui peut signaler des vulnérabilités potentielles dans nos applications et obtenir une récompense", a déclaré Telegram.