블록체인 보안 기업 CertiK은 보고서를 . CertiK은 X에 게시한 글에서 해커들이 텔레그램의 미디어 처리 기능을 이용해 원격 코드 실행(RCE) 공격을 감행할 수 있다고 언급했습니다.
CertiK는 텔레그램 데스크톱 애플리케이션의 취약점에 대한 세부 정보를 공개했습니다
해당 게시물은 해커들이 텔레그램 데스크톱 애플리케이션의 미디어 처리 기능을 악용하여 원격 코드 실행(RCE) 공격을 감행할 수 있음을 명확히 했습니다. CertiK는 사용자들이 특수하게 제작된 미디어 파일을 통해 이러한 악성 공격에 노출될 수 있다고 지적했습니다. CertiK는 "이 문제는 이미지나 동영상과 같은 특수하게 제작된 미디어 파일을 통해 사용자들을 악성 공격에 노출시킵니다."라고 밝혔습니다.
CertiK 대변인에 따르면 해당 취약점은 데스크톱 애플리케이션에만 국한됩니다. 그는 모바일 애플리케이션은 데스크톱 애플리케이션과 달리 실행 가능한 프로그램을 직접 실행하지 않으며, 데스크톱 애플리케이션은 서명이 필요하다고 설명했습니다. 또한, 이 문제는 보안 커뮤니티에서 발견했다고 덧붙였습니다. CertiK는 해당 취약점을 방지하기 위해 사용자들에게 텔레그램 데스크톱 애플리케이션 설정에서 자동 다운로드 기능을 비활성화할 것을 권고했습니다.
사용자는 '설정'을 클릭한 다음 '고급'을 선택하여 자동 다운로드 기능을 비활성화할 수 있습니다.matic 미디어 다운로드 옵션이 나타나면 모든 미디어 파일에 대해 비활성화 버튼을 켜고 끌 수 있습니다.
텔레그램은 취약점 해결 조치의 일환으로 해당 경고를 허위 정보라고 일축했습니다
출시 이후 상당한 성공을 거둔 enj 애플리케이션입니다 Bitcoin 텔레그램은 Wallet이라는 제3자 수탁 지갑 서비스를 제공하여 사용자들이 암호 화폐 자산 관리에 익숙하지 않은 초보자들을 지원합니다.
텔레그램은 X에 대한 업데이트에 즉각 답변하며 해당 취약점은 존재하지 않는다고 밝혔습니다. "그러한 취약점이 존재한다는 것을 확인할 수 없습니다. 이 영상은 조작일 가능성이 높습니다."라고 메시지 앱 측은 전했습니다.
하지만 플랫폼에서 취약점이 보고된 것은 이번이 처음은 아닙니다. 2023년 구글 엔지니어 댄 레바는 해커가 macOS 노트북의 카메라와 마이크를 활성화하는 데 사용할 수 있는 버그를 발견했습니다.
텔레그램은 플랫폼의 취약점을 발견하고 해결하기 위해 끊임없이 노력해 왔습니다. 이 메시징 앱은 2014년부터 버그 현상금 프로그램을 운영하여 연구원과 개발자들이 앱에서 문제를 발견하면 최대 10만 달러의 보상을 받을 수 있도록 하고 있습니다. 또한, 텔레그램은 앱에서 문제를 발견한 사람이라면 누구든 신고해 줄 것을 당부하고 있습니다. 텔레그램은 "누구나 앱의 잠재적 취약점을 신고하고 보상을 받을 수 있습니다."라고 밝혔습니다.
