Atualização 9 de abril, 14h40 UTC: O Telegram negou a existência da vulnerabilidade de execução de código remoto para clientes do Telegram, enquanto alguns especialistas em segurança afirmaram que é um problema conhecido.
Uma grande vulnerabilidade no aplicativo de mensagens Telegram está expondo os usuários a ataques maliciosos, de acordo com um novo relatório divulgado pela empresa de segurança em blockchain CertiK.
O CertiK Alert utilizou a plataforma de mídia social X em 9 de abril para alertar o público sobre uma 'vulnerabilidade de alto risco em ambiente real', potencialmente permitindo que hackers realizem um ataque de execução de código remoto (RCE) por meio do processamento de mídia do Telegram.
De acordo com a postagem, a equipe do CertiK descobriu um 'possível ataque de RCE' no processamento de mídia do Telegram no aplicativo Telegram Desktop.
"Este problema expõe os usuários a ataques maliciosos por meio de arquivos de mídia especialmente criados, como imagens ou vídeos", escreveu o CertiK.
Um porta-voz da CertiK disse ao Cointelegraph que a vulnerabilidade é exclusiva do aplicativo Telegram Desktop porque o móvel "não executa diretamente programas executáveis como os desktops, que geralmente requerem assinaturas." O representante observou que a notícia sobre o problema veio da comunidade de segurança.
Para evitar a vulnerabilidade, os usuários devem verificar a configuração do Telegram Desktop e desativar a função de download automático. A função pode ser desativada indo em 'Configurações' e, em seguida, clicando em 'Avançado'.
"Na seção 'Download Automático de Mídia', desative o download automático para ‘Fotos’, ‘Vídeos’ e ‘Arquivos’ em todos os tipos de chat (chats privados, grupos e canais)”, observou o CertiK.
Um porta-voz do Telegram disse ao Cointelegraph que a empresa "não pode confirmar a existência de tal vulnerabilidade nos clientes do Telegram."
De acordo com o entusiasta de criptomoedas e especialista em SEO Yannick Eckl, o problema com downloads automáticos de arquivos de mídia e ataques de RCE no Telegram não é novo. "É um problema conhecido em muitos, mas obviamente não em todos, círculos de segurança da TI", disse Eckl ao Cointelegraph.
O Telegram é um dos principais aplicativos de mensagens amigáveis às criptomoedas, que permite aos usuários se comunicarem, trocarem arquivos e realizarem transações de criptomoedas como Bitcoin (BTC) e Toncoin (TON) usando sua solução de carteira custodiada chamada, simplesmente, Wallet.
A parte 'custodiada' significa que a Wallet não fornece aos usuários a chave privada por padrão, mas sim coloca os ativos em sua própria custódia para ajudar os iniciantes do setor a evitar responsabilidades de auto custódia.
A vulnerabilidade recém-descoberta no Telegram não é a primeira. Em 2023, o engenheiro da Google Dan Reva encontrou um bug significativo que poderia permitir que invasores ativem a câmera e o microfone em laptops rodando macOS.
Em 2021, um pesquisador de segurança da Shielder descobriu um problema semelhante relacionado à mídia no Telegram, que, segundo relatos, permitia que invasores enviassem adesivos animados modificados, o que poderia expor os dados das vítimas.
O Telegram tem se dedicado ativamente a abordar vulnerabilidades potenciais em seu aplicativo. O programa de recompensa por bugs do Telegram está ativo desde 2014, oferecendo aos desenvolvedores e à comunidade de pesquisa em segurança a oportunidade de enviar seus relatórios e serem elegíveis para recompensas que variam de US$ 100 a US$ 100.000 ou mais, dependendo da gravidade do problema.