L'azienda di sicurezza blockchain CertiK ha pubblicato un nuovo rapporto che mostra la presenza di una nuova vulnerabilità su Telegram Messenger che espone gli utenti ad attacchi dannosi. Nel suo post su X, l'azienda di sicurezza ha menzionato la vulnerabilità che gli hacker potrebbero sfruttare per lanciare un attacco di esecuzione di codice remoto (RCE) attraverso l'elaborazione multimediale di Telegram.
CertiK descrive in dettaglio la vulnerabilità dell'applicazione desktop di Telegram
Il post ha chiarito che gli hacker potrebbero sfruttare l'elaborazione dei contenuti multimediali sull'applicazione desktop di Telegram, sferrando così l'attacco RCE. CertiK ha osservato che gli utenti potrebbero essere esposti a questi attacchi dannosi tramite file multimediali creati appositamente. "Questo problema espone gli utenti ad attacchi dannosi tramite file multimediali creati appositamente, come immagini o video", ha affermato CertiK.
Secondo un portavoce di CertiK, la vulnerabilità in questione è limitata alla sola applicazione desktop. Ha sottolineato che l'applicazione mobile non esegue direttamente programmi eseguibili, a differenza dell'applicazione desktop che richiede firme. Il portavoce ha inoltre sottolineato che è stata la comunità della sicurezza a scoprire il problema. Per evitare la vulnerabilità, CertiK ha esortato gli utenti a disattivare la funzione di download automatico nella configurazione desktop della propria applicazione Telegram.
Gli utenti possono disattivare la funzione di download automatico cliccando su "Impostazioni" e selezionando "Avanzate". Una volta visualizzata l'opzione di downloadmatic dei file multimediali, è possibile disattivare la funzione per tutti i file multimediali.
Telegram etichetta l'avviso come una bufala tra le misure per affrontare le vulnerabilità
Telegram è un'applicazione di messaggistica che ha enj un notevole successo sin dal suo lancio. L'applicazione, compatibile con le criptovalute, consente agli utenti di scambiare messaggi, immagini, video e asset digitali come Bitcoin e Toncoin. Permette agli utenti di svolgere queste attività legate alle criptovalute tramite l'utilizzo di un servizio di portafoglio di terze parti chiamato Wallet. La piattaforma offre un portafoglio di custodia per aiutare i neofiti del settore che sono ancora alle prime armi con l'autocustodia.
Telegram ha risposto rapidamente all'aggiornamento su X, sottolineando che la vulnerabilità in questione è inesistente. "Non possiamo confermare l'esistenza di tale vulnerabilità. Questo video è probabilmente una bufala", ha affermato l'app di messaggistica.
Tuttavia, non è la prima volta che viene segnalata una vulnerabilità sulla piattaforma. Nel 2023, l'ingegnere di Google Dan Reva ha scoperto un bug che potrebbe aiutare gli hacker ad attivare le fotocamere e il microfono sui laptop macOS.
Telegram ha anche lavorato instancabilmente per scoprire e risolvere le vulnerabilità sulla sua piattaforma. L'app di messaggistica ha un programma attivo dal 2014 che offre a ricercatori e sviluppatori l'opportunità di guadagnare ricompense fino a 100.000 dollari per la scoperta di problemi sull'app. Inoltre, l'app ha invitato chiunque scopra problemi a segnalarli. "Chiunque può segnalare potenziali vulnerabilità nelle nostre app e ottenere una ricompensa", ha affermato Telegram.
