Ứng dụng nhắn tin Telegram đã hạ thấp mức độ nghiêm trọng của một lỗ hổng được phát hiện cho phép các nhà nghiên cứu truy cập vào hệ thống camera của thiết bị macOS của Apple.
Kỹ sư phần mềm Dan Revah đã gắn cờ lỗ hổng này trong một bài đăng trên blog vào ngày 15 tháng 5, nêu rõ phương pháp cho phép anh ta leo thang đặc quyền cục bộ để truy cập vào máy ảnh của người dùng macOS thông qua các quyền được cấp trước đó cho ứng dụng Telegram đã cài đặt.
Bằng cách đưa một thư viện động vào hệ thống của người dùng, việc khai thác sẽ cho phép ghi lại từ camera của thiết bị và khả năng lưu tệp. Revah cũng tuyên bố rằng việc khai thác cho phép kẻ tấn công vượt qua hộp cát của thiết bị đầu cuối bằng cách sử dụng tác nhân khởi chạy. Kẻ tấn công cũng có thể giành được nhiều đặc quyền hơn đối với hệ thống bằng cách truy cập vào các khu vực hạn chế quyền riêng tư.
Cointelegraph đã liên hệ với Telegram để xác nhận xem nhóm của họ có giải quyết được những lo ngại mà Revah đưa ra hay không và để xác định mức độ nghiêm trọng của việc khai thác đã xác định. Người phát ngôn của Telegram, Remi Vaughn, nói rằng theo mặc định, người dùng Telegram không gặp rủi ro vì việc khai thác yêu cầu cài đặt phần mềm độc hại trên hệ thống của họ:
“Tình huống này liên quan nhiều đến bảo mật cấp phép của Apple hơn là với Telegram và do đó có thể ảnh hưởng đến bất kỳ ứng dụng macOS nào. Vấn đề thực sự là dường như có thể vượt qua các hạn chế hộp cát của Apple được tạo riêng để ngăn chặn việc lạm dụng các ứng dụng của bên thứ ba như vậy.”
Vaughn cho biết Telegram đã thực hiện các thay đổi nhận được sự chấp thuận từ Apple App Store vào cuối ngày 16 tháng 5. Ông cũng nói thêm rằng những người dùng tải xuống ứng dụng Telegram trực tiếp từ trang web của ứng dụng nhắn tin này sẽ không gặp rủi ro.
Cointelegraph đã liên hệ với Apple để có bình luận chính thức về việc khai thác.
Telegram đã phát hành bản cập nhật vào tháng 12 năm 2022, cho phép người dùng tạo tài khoản bằng cách sử dụng số ẩn danh dựa trên blockchain để tăng cường quyền riêng tư và bảo mật.
Tính năng này yêu cầu người dùng mua số ẩn danh được hỗ trợ bởi blockchain từ nền tảng đấu giá phi tập trung Fragment. Tên người dùng và số ẩn danh được bán trên nền tảng chỉ tương thích với Telegram và được mua và bán bằng mã thông báo The Open Network (TON) gốc của ứng dụng.
Vào tháng 11 năm 2022, người sáng lập Telegram, Pavel Durov, đã chỉ ra rằng nền tảng này sẽ xây dựng một loạt công cụ và dịch vụ phi tập trung sau sự sụp đổ của sàn giao dịch tiền điện tử FTX của Sam Bankman-Fried.
