В Telegram на macOS есть опасный баг

В мессенджере Telegram на macOS обнаружили уязвимость, позволяющую злоумышленникам получить удаленный доступ к микрофону и пользовательской камере.

Источник: инженерGoogle Ден Рева

Telegram на macOS имеет опасный баг

В Telegram на macOS обнаружили слабую сторону, позволяющую злоумышленнику получить доступ к камере и микрофону ноутбука.

Рева отмечает, что он смог обойти TCC в приложении Telegram для macOS.

TCC (прозрачность, согласие и контроль) – это механизм в macOS, который управляет доступом к определенным областям, определенным как «защищенные конфиденциальностью». Авторизация доступа к этим областям включена путем получения согласия от пользователей или обнаружения намерений пользователя посредством определенного действия.

Обойдя его, инженер получил несанкционированный доступ к конфиденциальным данным пользователя и записи пользователя через камеру.

CVE-2023-26818: Latest blog post on how I found a vulnerability in Telegram’s macOS app and was able to bypass TCC, giving me unauthorized access to sensitive user data and recording the user via camera. #Cybersecurity #macOS https://t.co/HJwvJSE7Tv

— Dan Revah (@danrevah) May 15, 2023

Через такой баг злоумышленники могут записать видео звуки из камеры и сохранить файл в скрытую папку на Mac. Даже если соответствующие разрешения на записи видео и звука отключены, он все равно будет работать.

Telegram не использует встроенный механизм безопасности Apple Hardened Runtime. Именно поэтому возникла такая уязвимость.

Рева сказал, что обнаружил и сообщил Telegram об этом баге в феврале 2022 года. Однако с ним не связались и эта уязвимость до сих пор не устранена.

В Telegram заявили, что доступ к камере и микрофону возможен только если у пользователя есть злонамеренное программное обеспечение с root-доступом на Mac, или пользователь загрузил Telegram из App Store, если программа загружена с официального сайта Telegram, то такого бага нет.

Only if:1. You have *malware* with root access on your *Mac*.2. You are using Telegram for *macOS*, downloaded from the *App Store* (update with fix is in review) – if you downloaded the app from our site, you’re not affected.

— Telegram Messenger (@telegram) May 16, 2023
Telegram безопасно для пользователей

Мессенджер уже неоднократно обвинялся в недостаточной защите данных пользователей. Журналисты online.ua попытались выяснить, может ли личная информация украинцев попасть в российскую ФСБ.

Понравилась статья? Поделиться с друзьями: