Telegram zajmuje się exploitem kamery, wskazuje na uprawnienia bezpieczeństwa Apple MacOS

Aplikacja do wiadomości Telegram zbagatelizowała powagę odkrytego exploita, który pozwolił badaczom uzyskać dostęp do systemów kamer urządzeń Apple macOS.
Inżynier oprogramowania Dan Revah zgłosił exploit w poście na blogu 15 maja, opisując metodę, która pozwoliła mu uzyskać lokalne podniesienie uprawnień w celu uzyskania dostępu do kamery użytkownika macOS poprzez uprawnienia wcześniej przyznane zainstalowanej aplikacji Telegram.
Poprzez wstrzyknięcie dynamicznej biblioteki do systemu użytkownika, exploit umożliwiłby nagrywanie z kamery urządzenia oraz możliwość zapisania pliku. Revah twierdzi również, że exploit pozwala atakującemu obejść sandbox terminala, używając agenta uruchamiającego. Atakujący mógłby również uzyskać większe uprawnienia do systemu, uzyskując dostęp do obszarów z ograniczeniami prywatności.
Cointelegraph skontaktował się z Telegramem, aby potwierdzić, czy jego zespół zajął się obawami zgłoszonymi przez Revaha i aby ustalić powagę zidentyfikowanego exploit. Rzecznik Telegramu, Remi Vaughn, powiedział, że użytkownicy Telegramu nie są domyślnie narażeni na ryzyko, ponieważ exploit wymaga zainstalowania złośliwego oprogramowania na ich systemach.
„Ta sytuacja ma więcej wspólnego z bezpieczeństwem uprawnień Apple niż z Telegramem i może potencjalnie wpłynąć na każdą aplikację macOS w wyniku tego. Prawdziwym problemem jest to, że wydaje się, że możliwe jest obejście ograniczeń sandboxa Apple, które zostały stworzone specjalnie w celu zapobieżenia takim nadużyciom aplikacji stron trzecich.”
Vaughn powiedział, że Telegram wprowadził zmiany, które otrzymały zatwierdzenie od Apple App Store pod koniec 16 maja. Dodał również, że użytkownicy, którzy pobrali aplikację Telegram bezpośrednio z witryny aplikacji do wiadomości, nie są narażeni na ryzyko.
Cointelegraph skontaktował się z Apple w celu uzyskania oficjalnego komentarza dotyczącego exploita.
Telegram wydał aktualizację w grudniu 2022 roku, umożliwiając użytkownikom zakładanie kont przy użyciu anonimowych numerów opartych na blockchainie, aby zwiększyć prywatność i bezpieczeństwo.
Funkcja wymaga, aby użytkownicy kupowali anonimowe numery zasilane blockchainem z zdecentralizowanej platformy aukcyjnej Fragment. Nazwy użytkowników i anonimowe numery sprzedawane na platformie są kompatybilne tylko z Telegramem i są kupowane oraz sprzedawane przy użyciu rodzimych tokenów The Open Network (TON) aplikacji.
W listopadzie 2022 roku założyciel Telegramu, Pavel Durov, wskazał, że platforma będzie budować szereg zdecentralizowanych narzędzi i usług po upadku giełdy kryptowalut FTX Sam Bankman-Frieda.