Telegram reconhece exploração de câmera e acusa permissões de segurança do macOS da Apple

O aplicativo de mensagens Telegram minimizou a gravidade de uma exploração descoberta que permitiu aos pesquisadores acessar os sistemas de câmera dos dispositivos Apple macOS.

O engenheiro de software Dan Revah sinalizou a exploração em uma postagem de blog em 15 de maio, descrevendo o método que lhe permitiu obter escalada de privilégio local para acessar a câmera de um usuário do macOS por meio de permissões concedidas anteriormente a um aplicativo Telegram instalado.

Ao injetar uma biblioteca dinâmica no sistema de um usuário, a exploração permitiria a gravação da câmera do dispositivo e a capacidade de salvar o arquivo. Revah também afirma que a exploração permite que um invasor contorne a sandbox do terminal usando um agente de inicialização. Um invasor também poderia obter mais privilégios no sistema acessando áreas restritas à privacidade.

O Cointelegraph entrou em contato com o Telegram para confirmar se sua equipe havia abordado as preocupações levantadas por Revah e para verificar a gravidade da exploração identificada. O porta-voz do Telegram, Remi Vaughn, disse que os usuários do Telegram não estão em risco por padrão, com a exploração exigindo que malwares sejam instalados em seus sistemas:

"Esta situação tem mais a ver com a segurança de permissões da Apple do que com o Telegram e pode potencialmente afetar qualquer aplicativo macOS como resultado. O verdadeiro problema é que parece ser possível contornar as restrições de sandbox da Apple que foram criadas especificamente para prevenir esse tipo de abuso de aplicativos de terceiros."

Vaughn disse que o Telegram executou mudanças que receberam aprovação da Apple App Store no final de 16 de maio. Ele também acrescentou que os usuários que baixaram o aplicativo Telegram diretamente do site do aplicativo de mensagens não estavam em risco.

O Cointelegraph entrou em contato com a Apple para um comentário oficial sobre a exploração.

O Telegram lançou uma atualização em dezembro de 2022, permitindo que os usuários criassem contas usando números anônimos baseados em blockchain para aumentar a privacidade e a segurança.

O recurso exige que os usuários comprem números anônimos alimentados por blockchain da plataforma de leilão descentralizada Fragment. Os nomes de usuário e números anônimos vendidos na plataforma são compatíveis apenas com o Telegram.

Em novembro de 2022, o fundador do Telegram, Pavel Durov, indicou que a plataforma estaria construindo uma série de ferramentas e serviços descentralizados após o colapso da exchange de criptomoedas FTX de Sam Bankman-Fried.

VEJA MAIS:

• Presidente do BC diz que criptomoedas serão reguladas primeiro como investimento e depois como meio de pagamento

• Kraken vai encerrar negociação de Monero para clientes do Reino Unido até o final de novembro

   

• Preço do Bitcoin no caminho certo para estabelecer novos recordes na América Latina