В Telegram нашли активирующую камеру и микрофон уязвимость
. Инженер Google сумел с помощью приложения обойти механизмы защиты AppleИнженер Google Дэн Рева сумел обойти механизмы защиты Apple благодаря приложению Тelegram
Инженер Google Дэн Рева нашел слабое место в приложении Telegram для операционной системы macOS, которая используется на компьютерах Apple. Эта уязвимость потенциально может активировать камеру и микрофон персонального компьютера, рассказал Рева в своем блоге.
Таким образом, используя уязвимость стороннего мессенджера, злоумышленники могут обойти механизмы защиты Apple и получить доступ к конфиденциальной информации с устройства пользователя, считает Рева.
На запись инженера обратил внимание эксперт в области кибербезопасности Мэтт Йохансен. В своем аккаунте в Twitter он написал, что механизм уязвимости был раскрыт несколько месяцев назад и разработчики Telegram были поставлены в известность об этом. Однако обратной связи не последовало, отметил Йохансен, и поэтому Рева раскрыл информацию публично.
Слабое место приложения заключается в возможности интеграции в Telegram для macOS сторонней динамической библиотеки Dylib. С его помощью злоумышленники смогут записывать видео с камеры со звуком и сохранять файл в скрытую папку на Mac. Это происходит, так как мессенджер не задействует должным образом механизмы безопасности Apple — Hardened Runtime (защищает от манипуляций с памятью приложений и внедрения вредоносного кода) и Entitlements (контролирует права доступа приложений к микрофону, камере и прочим функциям компьютера).
«Похоже, что Telegram не укрепил версию приложения, которое было загружено в App Store для macOS. Мы создали новый файл Dylib в Objective-C (язык программирования, на нем пишут программы для iOS и MacOS), который захватывает видео с камеры в течение трех секунд и сохраняет запись в скрытый файл», — отметил Йохансен.
Более того, запись видео и звука будет работать, даже если соответствующие разрешения отключены.
Недавно специалисты по кибербезопасности обнаружили опасную уязвимость в базовом стандарте Wi-Fi — IEEE 802.11. Авторы исследования утверждали, что она позволяет хакерам перехватывать весь трафик. Инженер департамента информационной безопасности ИМБА ИТ Андрей Ефимов объяснил РБК Life, что злоумышленник может внедрить вредоносный код JavaScript. Сообщалось, что дыра в уязвимости есть в самом протоколе Wi-Fi на всех устройствах под управлением Linux, FreeBSD, iOS и Android.
Ранее эксперты назвали самый уязвимый браузер 2022 года. Им стал Chrome от Google. Специалисты сервиса Atlas VPN выяснили, что у Chrome более 3150 слабых мест в защите. На втором месте оказался Firefox с 117 пробелами безопасности в 2022 году и более 2360 за все время. Третье место антирейтинга досталось браузеру Edge от Microsoft, на четвертом расположился Safari. Самый высокий уровень защиты оказался у Opera, у которого в этом году не было найдено ни одной ошибки.
