" Разработчики приложение для обмена сообщениями Telegram нивелировали серьезность обнаруженного эксплойта, который позволил исследователям получить доступ к системам камер пользователей Apple macOS.
Инженер-программист Дэн Рева отметил эксплойт в своем блоге 15 мая, описав метод, который позволил ему получить локальное повышение привилегий для доступа к камере пользователя macOS с помощью разрешений, ранее предоставленных установленному приложению Telegram.
Внедрив динамическую библиотеку в систему пользователя, эксплойт позволит вести запись с камеры устройства и сохранять файл. Рева также утверждает, что эксплойт позволяет злоумышленнику обойти «песочницу» терминала с помощью LaunchAgent. Злоумышленник также сможет получить больше привилегий в системе, получив доступ к областям с ограниченной конфиденциальностью.
Команда Telegram рассмотрела проблемы, поднятые Ревой, и проверила серьезность выявленного эксплойта. Представитель Telegram Реми Вон поянил, что пользователи Telegram по умолчанию не подвергаются риску, поскольку эксплойт требует установки вредоносного ПО в их системах:
«Эта ситуация больше связана с безопасностью разрешений Apple, чем с Telegram, и в результате потенциально может повлиять на любое приложение macOS. Настоящая проблема заключается в том, что кажется возможным обойти ограничения песочницы Apple, которые были созданы специально для предотвращения такого злоупотребления сторонними приложениями».
Вон сказал, что в Telegram были внесены изменения, которые сейчас ожидают одобрения в App Store. Он также добавил, что пользователи, скачавшие приложение Telegram непосредственно с веб-сайта приложения для обмена сообщениями, не подвергались риску.
Telegram выпустил обновление в декабре 2022 года, которое позволяет пользователям создавать учетные записи, используя анонимные номера на основе блокчейна, чтобы повысить конфиденциальность и безопасность.
Эта функция требует, чтобы пользователи покупали анонимные номера на основе блокчейна на децентрализованной аукционной платформе Fragment. Имена пользователей и анонимные номера, продаваемые на платформе, совместимы только с Telegram и покупаются и продаются с использованием собственных токенов Open Network (TON) приложения.
В ноябре 2022 года, после краха криптовалютной биржи FTX Сэма Бэнкмана-Фрида, основатель Telegram Павел Дуров сказал, что платформа будет создавать множество децентрализованных инструментов и сервисов.
