У Telegram на macOS виявили баг. Він віддалено надає доступ до мікрофона й камери

Фото: commons.wikimedia.org

У мессенджері Telegram на macOS виявили вразливість, яка дозволяє зловмисникам отримати віддалений доступ до мікрофона й камери користувача.

Джерело: інженер Google Ден Рева

Telegram на macOS має небезпечний баг

У Telegram на macOS виявили слабку сторону, яка дозволяє зловнмисника отримати доступ до камери та мікрофона ноутбука.

Рева зазначає, що він зміг обійти TCC у у додатку Telegram для macOS.

TCC (Прозорість, згода та контроль) — це механізм у macOS, який керує доступом до певних областей, визначених як «захищені конфіденційністю». Авторизація доступу до цих областей увімкнена шляхом отримання згоди від користувачів або виявлення намірів користувача за допомогою певної дії.

Обійшовши його, інженер отримав несанкціонований доступ до конфіденційних даних користувача та до запису користувача через камеру.

CVE-2023-26818: Latest blog post on how I found a vulnerability in Telegram’s macOS app and was able to bypass TCC, giving me unauthorized access to sensitive user data and recording the user via camera. #Cybersecurity #macOS https://t.co/HJwvJSE7Tv

— Dan Revah (@danrevah) May 15, 2023

Через такий баг зловмисники можуть записати відео щі звуком з камери та зберегти файл у приховану папку на Mac. Навіть якщо відповідні дозволи на записа відео та звуку вимкнено, він все одно буде працювати.

Telegram не використовує вбудований механізм безпеки Apple Hardened Runtime. Саме тому виникла така вразливість.

Рева сказав, що виявив та повідомив Telegram про цей баг у лютому 2022 року. Проте з ним не звʼязалися й ця вразливість досі не усунута.

У Telegram заявили, що доступ до камери та мікрофона можливий лише якщо у користувача є зловмисне програмне забезпечення з root-доступом на Mac, або ж користувач завантажив Telegram з App Store, якщо програма завантажена з офіційного сайту Telegram, то такого багу немає.

Only if:
1. You have *malware* with root access on your *Mac*.
2. You are using Telegram for *macOS*, downloaded from the *App Store* (update with fix is in review) – if you downloaded the app from our site, you’re not affected.

— Telegram Messenger (@telegram) May 16, 2023

Чи є Telegram безпечним для користувачів

Мессенджер вже неодноразово звинувачували в недостатньому захисті даних користувачів. Журналісти online.ua спробували з’ясувати, чи може особиста інформація українців потрапити до російської ФСБ.