blockchain CertiK ha pubblicato un nuovo rapporto che mostra che esiste una nuova vulnerabilità su Telegram Messenger che sta esponendo gli utenti ad attacchi dannosi. Nel suo post su X, la società di sicurezza ha menzionato la vulnerabilità che gli hacker potrebbero sfruttare per implementare un attacco RCE (Remote Code Execution) attraverso l'elaborazione multimediale di Telegram.
CertiK descrive dettagliatamente la vulnerabilità dell'applicazione desktop di Telegram
Il post chiariva che gli hacker potrebbero trarre vantaggio dall'elaborazione multimediale sull'applicazione desktop di Telegram, implementando così l'attacco RCE. CertiK ha osservato che gli utenti potrebbero essere esposti a questi attacchi dannosi attraverso file multimediali appositamente realizzati. "Questo problema espone gli utenti ad attacchi dannosi attraverso file multimediali appositamente predisposti, come immagini o video", ha affermato CertiK.
Secondo un portavoce di CertiK, la suddetta vulnerabilità è limitata solo all'applicazione desktop. Nota che l'applicazione mobile non esegue direttamente programmi eseguibili a differenza del desktop che richiede firme. Il portavoce ha inoltre osservato che è stata la comunità della sicurezza a scoprire il problema. Per evitare la vulnerabilità, CertiK ha invitato gli utenti a disabilitare la funzione di download automatico nella configurazione desktop della loro applicazione Telegram.
Gli utenti possono disattivare la funzione di download automatico facendo clic su "Impostazioni" e quindi selezionando "Avanzate". Dopo che viene visualizzata l'opzione di download matic dei media, è possibile attivare/disattivare il pulsante di disattivazione su tutti i file multimediali.
Telegram etichetta l'avviso come una bufala tra le misure per affrontare le vulnerabilità
Telegram è un'applicazione di messaggistica che ha enj un discreto successo sin dal suo lancio. L'applicazione crittografica consente agli utenti di scambiare messaggi, immagini, video e risorse digitali come Bitcoin e Toncoin. Consente agli utenti di svolgere queste attività legate alle criptovalute attraverso l'uso di un servizio di portafoglio di custodia di terze parti chiamato Wallet. La piattaforma contiene un portafoglio di custodia per aiutare i neofiti delle criptovalute che sono ancora inesperti quando si tratta di auto-custodia.
Telegram ha risposto rapidamente all'aggiornamento su X, sottolineando che la suddetta vulnerabilità è inesistente. “Non possiamo confermare che esista una tale vulnerabilità. Questo video è probabilmente una bufala", ha affermato l'app di messaggistica.
Tuttavia, non è la prima volta che viene segnalata una vulnerabilità sulla piattaforma. Nel 2023, l'ingegnere di Google Dan Reva ha scoperto un bug che potrebbe aiutare gli hacker ad attivare le fotocamere e il microfono sui laptop macOS.
Telegram ha anche lavorato instancabilmente per scoprire e affrontare le vulnerabilità sulla sua piattaforma. programma bug bounty attivo dal 2014 che offre a ricercatori e sviluppatori l'opportunità di guadagnare premi fino a $ 100.000 per la scoperta di problemi sull'app. Inoltre, l'app ha invitato chiunque scopra problemi sull'app a segnalarli. "Chiunque può segnalare potenziali vulnerabilità nelle nostre app e ottenere una ricompensa", ha affermato Telegram.