Основатель Telegram прокомментировал сообщения об уязвимости приложения.
Павел Дуров прокомментировал появившиеся сообщения об уязвимости в приложении Telegram для macOS. Он утверждает, что в действительности нет никакой уязвимости, поскольку для этого уже должен быть скомпрометирован компьютер пользователя.
"Российские газеты пишут, что Telegram якобы "подтвердил уязвимость" в приложении для компьютеров от компании Apple. Это не так.
Напротив, в нашем сообщении мы объяснили, что никакой уязвимости не было. Потому что заявленная “уязвимость” заключалась в следующем: "Если бы у злоумышленника уже был доступ к Вашему компьютеру, он мог бы управлять Вашей камерой и микрофоном через Telegram". Но если компьютер уже скомпрометирован, то доступ к микрофону через Telegram — меньшая из проблем, о которых стоит беспокоиться.
Как я отмечал ранее, в технических аспектах СМИ часто гонятся за громкими заголовками и вводят в заблуждение пользователей.
Это печально: в результате люди могут не придать значения настоящим угрозам. Например, в WhatsApp простого принятия звонка или просмотра видеозаписи было достаточно, чтобы злоумышленник получил полный доступ к Вашему телефону. Из-за этой уязвимости WhatsApp становился шпионской программой, которая позволяла хакерам взломать любой смартфон с WhatsApp.
Если заголовки СМИ о мнимых и реальных угрозах будут одинаковыми, люди перестанут воспринимать их всерьез — получится, как в басне про мальчика, который без нужды кричал “Волк“, - написал Дуров в своем Telegram-канале.
Как сообщалось ранее , инженер по безопасности Google обнаружил уязвимость в приложении Telegram для macOS, которая может быть использована для несанкционированного доступа к камере устройства. Обычно механизм TCC, предоставляемый Apple, препятствует доступу стороннего ПО к камере и микрофону, но исследователь выяснил, что в приложение Telegram можно внедрить вредоносную динамическую библиотеку (Dylib), обходящую эту защиту. Таким образом, злоумышленник может активировать камеру компьютера и записывать видео без уведомлений или индикации для пользователя.
Уязвимость Telegram была идентифицирована под номером CVE-2023-26818 еще в феврале этого года. Исследователь пытался связаться с Telegram для устранения проблемы, но не получил ответа. В результате он опубликовал отчет, раскрывающий информацию о уязвимости.
Собираем и анализируем опыт профессионалов ИБ