A empresa de segurança blockchain CertiK divulgou um novo relatório mostrando uma vulnerabilidade no Telegram Messenger que expõe os usuários a ataques maliciosos. Em sua publicação no X, a empresa de segurança mencionou a vulnerabilidade que hackers poderiam explorar para realizar um ataque de execução remota de código (RCE) por meio do processamento de mídia do Telegram.
A CertiK detalha a vulnerabilidade do aplicativo Telegram para desktop
A publicação esclareceu que hackers poderiam explorar o processamento de mídia no aplicativo Telegram para desktop, implementando assim o ataque de execução remota de código (RCE). A CertiK observou que os usuários poderiam ser expostos a esses ataques maliciosos por meio de arquivos de mídia especialmente criados. "Essa vulnerabilidade expõe os usuários a ataques maliciosos por meio de arquivos de mídia especialmente criados, como imagens ou vídeos", afirmou a CertiK.
Segundo um porta-voz da CertiK, a vulnerabilidade em questão se limita ao aplicativo para desktop. Ele observa que o aplicativo móvel não executa programas diretamente, diferentemente da versão para desktop, que requer assinaturas. O porta-voz também destacou que foi a comunidade de segurança que descobriu o problema. Para evitar a vulnerabilidade, a CertiK recomenda que os usuários desativem o recurso de download automático nas configurações do aplicativo Telegram para desktop.
Os usuários podem desativar o recurso de download automático clicando em "Configurações" e selecionando "Avançado". Após a opção de downloadmatic de mídia aparecer, eles podem ativar ou desativar a função para todos os arquivos de mídia.
O Telegram classificou o alerta como uma farsa e está tomando medidas para corrigir vulnerabilidades
O Telegram é um aplicativo de mensagens que tem enj bastante sucesso desde o seu lançamento. O aplicativo, que é amigável às criptomoedas, permite que os usuários troquem mensagens, fotos, vídeos e ativos digitais como Bitcoin e Tokencoin. Ele permite que os usuários realizem essas atividades relacionadas a criptomoedas por meio de um serviço de carteira custodial de terceiros chamado Wallet. A plataforma oferece uma carteira custodial para ajudar os iniciantes no mundo das criptomoedas que ainda não estão familiarizados com a autocustódia.
O Telegram respondeu prontamente à atualização sobre o X, afirmando que a referida vulnerabilidade não existe. "Não podemos confirmar a existência de tal vulnerabilidade. Este vídeo provavelmente é uma farsa", disse o aplicativo de mensagens.
No entanto, esta não é a primeira vez que uma vulnerabilidade é relatada na plataforma. Em 2023, o engenheiro do Google, Dan Reva, descobriu um bug que poderia auxiliar hackers a ativar as câmeras e o microfone em laptops macOS.
O Telegram também tem trabalhado incansavelmente para descobrir e corrigir vulnerabilidades em sua plataforma. O aplicativo de mensagens possui um programa que está em funcionamento desde 2014, oferecendo a pesquisadores e desenvolvedores a oportunidade de ganhar até US$ 100.000 por descobrirem problemas no aplicativo. Além disso, o aplicativo incentiva todos que descobrirem problemas a relatá-los. "Qualquer pessoa pode relatar possíveis vulnerabilidades em nossos aplicativos e receber uma recompensa", afirmou o Telegram.
