Крипто-дружелюбное приложение для обмена сообщениями Telegram опровергло заявления о том, что уязвимость на его платформе подвергла пользователей атакам.
Предполагаемая уязвимость
Блокчейн-безопасности фирма CertiK заявила 9 апреля, что десктопное приложение Telegram имеет потенциально высокорискованную уязвимость управления удаленным кодом (RCE). Фирма заявила:
“Обнаружена возможная RCE в обработке медиафайлов в десктоп-приложении Telegram. Эта проблема подвергает пользователей злонамеренным атакам через специально созданные медиафайлы, такие как изображения или видео”.
По мнению CertiK, эта уязвимость могла бы позволить злонамеренным акторам отправлять RCE пользователям, что потенциально подвергает их атакам через специально созданные медиафайлы.
Безопасность фирмы уточнила, что уязвимость ограничивается десктоп-приложениями, которые могут выполнять программы, содержащиеся в файлах. Мобильные приложения остаются незатронутыми, поскольку они не выполняют программы.
CertiK рекомендовала пользователям отключить функцию автозагрузки в десктоп-приложении из соображений безопасности. Пользователи могут настроить свои параметры загрузки медиафайлов на ручные загрузки в настройках приложения.
Ответ Telegram
В сообщении Telegram 9 апреля на X (ранее Twitter), Telegram заявила, что распространенные видеоролики, вероятно, были обманом, поскольку на их платформе нет такой уязвимости.
Тем не менее, платформа призвала пользователей сообщать о любых угрозах или потенциальных уязвимостях в своих приложениях через свою программу поощрения за обнаружение уязвимостей.
Тем временем представитель CertiK сообщил CryptoSlate, что фирма не была связана с Telegram и что новость об уязвимости пришла из сообщества безопасности. Он добавил, что мобильная версия приложения для обмена сообщениями была защищена от этой уязвимости, поскольку “не выполняет непосредственно исполняемые программы, в отличие от десктопов, которые обычно требуют подписей”.
CertiK далее заявила, что их пост в социальных сетях об уязвимости имел целью привлечь внимание к потенциальной проблеме и напомнить пользователям о лучших практиках.
Источник: cryptoslate.com