Telegram устраняет эксплойт для камеры и указывает на разрешения безопасности Apple macOS

Приложение для обмена сообщениями Telegram преуменьшило серьезность обнаруженного эксплойта, который позволил исследователям получить доступ к системам камер пользователей Apple macOS.

Инженер-программист Дэн Рева отметил эксплойт в блоге 15 мая, описав метод, который позволил ему получить локальное повышение привилегий для доступа к камере пользователя macOS через разрешения, ранее предоставленные установленному приложению Telegram.

Внедряя динамическую библиотеку в систему пользователя, эксплойт позволял вести запись с камеры устройства и сохранять файл. Рева также утверждает, что эксплойт позволяет злоумышленнику обойти "песочницу" терминала с помощью LaunchAgent. Злоумышленник также сможет получить больше привилегий в системе, получив доступ к областям с ограниченным доступом.

Cointelegraph связался с Telegram, чтобы выяснить, приняла ли его команда во внимание опасения, высказанные Revah, и насколько серьезен выявленный эксплойт. Представитель Telegram Реми Вон заявил, что пользователи Telegram не подвергаются риску по умолчанию, поскольку для использования эксплойта требуется установка вредоносного ПО на их системы:

"Эта ситуация имеет больше отношения к безопасности разрешений Apples, чем к Telegram, и в результате может потенциально повлиять на любое приложение macOS. Реальная проблема заключается в том, что, похоже, можно обойти ограничения "песочницы" Apple, которые были созданы специально для предотвращения подобных злоупотреблений сторонними приложениями".

Вон сказал, что Telegram внес изменения, которые теперь ожидают одобрения в App Store. Он также добавил, что пользователи, загрузившие приложение Telegram непосредственно с сайта приложения для обмена сообщениями, не подвергаются риску.

Cointelegraph обратился в Apple за официальным комментарием по поводу эксплойта.

В декабре 2022 года Telegram выпустил обновление, которое позволяет пользователям создавать аккаунты с использованием анонимных номеров на основе блокчейна в целях повышения конфиденциальности и безопасности.

Функция требует от пользователей покупки анонимных номеров на основе блокчейна у децентрализованной аукционной платформы Fragment. Имена пользователей и анонимные номера, продаваемые на платформе, совместимы только с Telegram и покупаются и продаются с использованием собственных токенов приложения The Open Network (TON).

Основатель Telegram Павел Дуров сообщил, что платформа будет создавать множество децентрализованных инструментов и сервисов в ноябре 2022 года, после краха криптовалютной биржи FTX Сэма Бэнкмана-Фрида.

Журнал: Ординары превратили биткоин в худшую версию Ethereum: Можно ли это исправить?