В Telegram на macOS обнаружили баг. Он удаленно предоставляет доступ к микрофону и камере

Анатолий Геращенко

Источник: online.ua

В мессенджере Telegram на macOS обнаружили уязвимость, позволяющую злоумышленникам получить удаленный доступ к микрофону и пользовательской камере.

Источник: инженерGoogle Ден Рева

Telegram на macOS имеет опасный баг

В Telegram на macOS обнаружили слабую сторону, позволяющую злоумышленнику получить доступ к камере и микрофону ноутбука.

Рева отмечает, что он смог обойти TCC в приложении Telegram для macOS.

TCC (прозрачность, согласие и контроль) – это механизм в macOS, который управляет доступом к определенным областям, определенным как «защищенные конфиденциальностью». Авторизация доступа к этим областям включена путем получения согласия от пользователей или обнаружения намерений пользователя посредством определенного действия.

Обойдя его, инженер получил несанкционированный доступ к конфиденциальным данным пользователя и записи пользователя через камеру.

CVE-2023-26818: Latest blog post on how I found a vulnerability in Telegram's macOS app and was able to bypass TCC, giving me unauthorized access to sensitive user data and recording the user via camera. 🔒 📸#Cybersecurity #macOS https://t.co/HJwvJSE7Tv
— Dan Revah (@danrevah) May 15, 2023

Через такой баг злоумышленники могут записать видео звуки из камеры и сохранить файл в скрытую папку на Mac. Даже если соответствующие разрешения на записи видео и звука отключены, он все равно будет работать.

Telegram не использует встроенный механизм безопасности Apple Hardened Runtime. Именно поэтому возникла такая уязвимость.

Рева сказал, что обнаружил и сообщил Telegram об этом баге в феврале 2022 года. Однако с ним не связались и эта уязвимость до сих пор не устранена.

В Telegram заявили, что доступ к камере и микрофону возможен только если у пользователя есть злонамеренное программное обеспечение с root-доступом на Mac, или пользователь загрузил Telegram из App Store, если программа загружена с официального сайта Telegram, то такого бага нет.

Only if:
1. You have *malware* with root access on your *Mac*.
2. You are using Telegram for *macOS*, downloaded from the *App Store* (update with fix is in review) – if you downloaded the app from our site, you’re not affected.
— Telegram Messenger (@telegram) May 16, 2023

Telegram безопасно для пользователей

Мессенджер уже неоднократно обвинялся в недостаточной защите данных пользователей. Журналисты online.ua попытались выяснить, может ли личная информация украинцев попасть в российскую ФСБ.

Читайте также:

Звонки в Телеграмм проходят через Санкт-Петербург — детали
Неприятная правда. Безопасно ли использовать Telegram
Что не так с ответом Telegram на обвинения о связях с Кремлем — объясняет эксперт

Как вам такое?

Telegram на macOS имеет опасный баг

Telegram безопасно для пользователей

Поделиться