L'application de messagerie Telegram a minimisé la gravité d'un exploit qui permettait aux chercheurs d'accéder aux systèmes de caméra des appareils Apple macOS. L'exploit a été signalé par l'ingénieur logiciel Dan Revah, qui a détaillé la méthode dans un article de blog. En injectant une bibliothèque dynamique dans le système d'un utilisateur, l'exploit pourrait accorder l'accès à la caméra de l'appareil et permettre l'enregistrement et la sauvegarde des fichiers. Revah a également affirmé que l'exploit pouvait contourner le bac à sable du terminal à l'aide d'un agent de lancement et obtenir des privilèges système supplémentaires.
Cependant, le porte-parole Remi Vaughn a déclaré que de Telegram ne sont pas à risque par défaut, car l'exploit nécessite l'installation de logiciels malveillants sur leurs systèmes. Vaughn a attribué le problème à la sécurité des autorisations d'Apple et à la possibilité de contourner les restrictions du bac à sable destinées à empêcher l'abus d'applications tierces. L'application a apporté des modifications pour résoudre l'exploit et la version mise à jour a reçu l'approbation de l'App Store d'Apple. Les utilisateurs qui ont téléchargé Telegram directement depuis le site Web de l'application n'ont pas été affectés.
Telegram aborde l'exploit
Dans une mise à jour distincte, Telegram a introduit une fonctionnalité en décembre 2022 qui permet aux utilisateurs de créer des comptes en utilisant la blockchain pour améliorer la confidentialité et la sécurité. Cette fonctionnalité oblige les utilisateurs à acheter des numéros anonymes alimentés par la blockchain auprès de la plateforme d'enchères décentralisée Fragment. Les noms d'utilisateur et les numéros anonymes obtenus à partir de la plateforme ne sont compatibles qu'avec Telegram. Le fondateur de Telegram, Pavel Durov, a également indiqué en novembre 2022 que la plate-forme développerait des outils et des services décentralisés suite à l'effondrement de l'échange de crypto-monnaie FTX appartenant à Sam Bankman-Fried.
De plus, la découverte de l'exploit dans Telegram met en évidence le défi permanent d'équilibrer la confidentialité et la sécurité des utilisateurs avec les risques potentiels posés par les vulnérabilités des systèmes logiciels. Alors que Telegram a souligné que ses utilisateurs n'étaient pas à risque par défaut, l'incident dent des inquiétudes quant à la sécurité globale des applications de messagerie et à la capacité des attaquants à exploiter les faiblesses des systèmes d'exploitation sous-jacents.
La réponse de Telegram, en traitant l'exploit et en s'efforçant d'apporter les modifications nécessaires, reflète l'engagement de l'entreprise à maintenir la confidentialité et la sécurité de ses utilisateurs. En mettant rapidement en œuvre des mises à jour et en obtenant l'approbation de l'App Store d'Apple, Telegram a démontré son engagement à remédier aux vulnérabilités potentielles et à protéger sa base d'utilisateurs.
L'introduction de numéros anonymes basés sur la blockchain en tant que fonctionnalité de Telegram illustre davantage les efforts de la plate-forme pour améliorer la confidentialité des utilisateurs. En tirant parti de la technologie décentralisée, Telegram vise à fournir aux utilisateurs plus de contrôle sur leurs informations personnelles et leurs communications. Cela correspond à la tendance croissante à intégrer la blockchain et des solutions décentralisées pour répondre aux préoccupations concernant la confidentialité et la sécurité des données.
Quant à Apple , la réponse de l'entreprise concernant l'exploit est attendue. Compte tenu de la gravité du problème, il est probable qu'Apple enquêtera sur la question et prendra les mesures appropriées pour remédier à toute vulnérabilité de son système d'exploitation macOS qui aurait pu permettre l'exploit.
Dans l'ensemble, l' dent rappelle l'importance de mettre à jour régulièrement les logiciels, de maintenir des mesures de sécurité tron et d'être vigilant face aux vulnérabilités potentielles qui pourraient être exploitées par des acteurs malveillants. Il met en évidence le jeu du chat et de la souris en cours entre les chercheurs en cybersécurité et les attaquants, des entreprises comme Telegram s'efforçant de garder une longueur d'avance pour protéger la confidentialité et la sécurité de leurs utilisateurs.