Компания CertiK, специализирующаяся на безопасности блокчейна, опубликовала новый отчет , демонстрирующий наличие новой уязвимости в мессенджере Telegram, которая подвергает пользователей вредоносным атакам. В своем сообщении на X компания упомянула уязвимость, которую хакеры могут использовать для осуществления атаки удаленного выполнения кода (RCE) через обработку мультимедиа в Telegram.
Компания CertiK подробно описывает уязвимость настольного приложения Telegram
В сообщении уточнялось, что хакеры могут использовать возможности обработки мультимедиа в настольном приложении Telegram, тем самым осуществляя атаку удаленного выполнения (RCE). CertiK отметила, что пользователи могут подвергаться этим вредоносным атакам через специально созданные медиафайлы. «Эта проблема подвергает пользователей вредоносным атакам через специально созданные медиафайлы, такие как изображения или видео», — заявила CertiK.
По словам представителя CertiK, указанная уязвимость касается только настольного приложения. Он отмечает, что мобильное приложение, в отличие от настольного, не запускает исполняемые программы напрямую, поскольку требует использования цифровых подписей. Представитель также отметил, что проблему обнаружило сообщество специалистов по безопасности. Чтобы избежать этой уязвимости, CertiK настоятельно рекомендует пользователям отключить функцию автоматической загрузки в настройках настольной версии приложения Telegram.
Пользователи могут отключить функцию автоматической загрузки, нажав на «Настройки», а затем выбрав «Дополнительно». После появления опцииmatic загрузки медиафайлов они могут переключить кнопку отключения на все медиафайлы.
Telegram назвал предупреждение мистификацией на фоне мер по устранению уязвимостей
Telegram — это мессенджер, который enj значительного успеха с момента своего запуска. Это приложение, ориентированное на криптовалюты, позволяет пользователям обмениваться сообщениями, фотографиями, видео и цифровыми активами, такими как Bitcoin и Toncoin. Для осуществления этих операций с криптовалютами используется сторонний сервис кастодиальных кошельков под названием Wallet. Платформа предлагает кастодиальный кошелек для начинающих пользователей криптовалют, которые еще не знакомы с самостоятельным хранением средств.
Telegram оперативно отреагировал на обновление на X, отметив, что указанная уязвимость не существует. «Мы не можем подтвердить существование такой уязвимости. Это видео, скорее всего, является мистификацией», — заявило приложение для обмена сообщениями.
Однако это не первый случай обнаружения уязвимости на платформе. В 2023 году инженер Google Дэн Рева обнаружил ошибку, которая могла помочь хакерам активировать камеры и микрофон на ноутбуках под управлением macOS.
Telegram также неустанно работает над обнаружением и устранением уязвимостей на своей платформе. С 2014 года в мессенджере программа , предлагающая исследователям и разработчикам возможность заработать до 100 000 долларов за обнаружение проблем в приложении. Более того, приложение призывает всех, кто обнаружит проблемы, сообщать о них. «Любой может сообщить о потенциальных уязвимостях в наших приложениях и получить вознаграждение», — заявили в Telegram.
