Автори:

Юлія Поліковська

У месенджері Telegram, встановленому на компʼютери і ноутбуки з операційною системою macOS, виявили вразливість, яка дозволяє зловмисникам отримувати доступ до камери й мікрофона людини без її дозволу. Про це у твіттері повідомив інженер Google Ден Рева.

CVE-2023-26818: Latest blog post on how I found a vulnerability in Telegram's macOS app and was able to bypass TCC, giving me unauthorized access to sensitive user data and recording the user via camera. ???? ????#Cybersecurity #macOS https://t.co/HJwvJSE7Tv

— Dan Revah (@danrevah) May 15, 2023

Ще в лютому 2022 року він зміг виявити вразливість застосунку та обійти Take Comand Console (частина операційної системи. — Ред.). Завдяки цьому інженер отримав доступ до конфіденційних даних користувача та записав його через камеру. Тоді Ден Рева звернувся до розробників Telegram, проте, за його словами, відповіді не отримав, а баг не усунули.

Експерт із кібербезпеки Метт Йогансен вважає, що виявлена вразливість дає змогу зловмисникам записувати відео з камери зі звуком та зберігати файл у приховану теку на Mac. При цьому запис відео та звуку буде можливим, навіть якщо користувач вимкнув відповідні дозволи.

???? A new vulnerability found in Telegram that can grant access to your camera and microphone.

Found by an engineer at Google, reported to Telegram and they haven't addressed it.

So now we get a detailed public disclosure!

How this works and what it means for your privacy ????

— Matt Johansen (@mattjay) May 15, 2023

Тим часом у Telegram відповіли, що несанкціонований доступ до камери та мікрофона можливий лише за умови, що на Mac є шкідливе програмне забезпечення з root-доступом. Ідеться про створення спеціального облікового запису, який надає доступ і права до всіх функцій операційної системи.

Que babado.

Um engenheiro do Google identificou uma vulnerabilidade na segurança do Telegram para dispositivos Apple.
A vulnerabilidade permite que a câmera e microfone sejam acessados e ligados mesmo sem a permissão do usuário.
+ https://t.co/tfClkq0TrW

— Michele Prado (@MichelePradoBa) May 16, 2023

Також це можливо, якщо людина завантажила Telegram для macOS з App Store. Тільки завантаження з офіційного сайту, за словами розробників, гарантує безпеку користувачів.

Нагадаємо, команда волонтерського проєкту UA Anti Spam Bot запустила нову функцію — можливість блокувати коментарі щодо теми контрнаступу ЗСУ в телеграм-каналах і групах.

Фото: Pixabay