Инженер Google Дэн Рева обнаружил в Telegram на macOS уязвимость, которая может позволить злоумышленникам использовать камеру и микрофон ноутбука.
Уязвимость позволяет внедрить динамическую библиотеку(Dylib) с вредоносным эксплойтом в Telegram на macOS. С его помощью злоумышленники смогут записывать видео с камеры со звуком и сохранять файл в скрытую папку на Mac. Причем запись видео и звука будет работать даже в том случае, если соответствующие разрешения выключены.
Запуск эскпойта возможен, потому что Telegram не использует встроенный механизм безопасности Apple Hardened Runtime. Он как раз отвечает за блокировку определенных типов эксплойтов.
Рева сообщил об этой проблеме команде Telegram в феврале 2023 года. Но разработчики не вышли на связь и до сих пор не устранили уязвимость.
Представитель Telegram Реми Вон заявил iPhones.ru, что разработчики мессенджера исправят проблему в следующем обновлении, которое уже находится на рассмотрении в App Store. [Twitter]
9 комментариев