Компания CertiK утверждает, что выявила уязвимость высокого риска в мессенджере Telegram. Эксперты указали на возможность заражения пользовательского устройства вредоносным ПО.
По заявлению команды проекта, проблема кроется в эксплуатации хакерами уязвимости удаленного выполнения кода (RCE). Для этого злоумышленники используют медиафайлы, которые автоматически загружаются в мессенджере, отметили в компании.
#CertiKInsight ⚠️
We see a high-risk vulnerability in the wild,
Please check your telegram configurations to improve security!
👇👇👇👇👇
Possible RCE was detected in Telegram's media processing in Telegram Desktop application.
This issue expose users to malicious attacks through…— CertiK Alert (@CertiKAlert) April 9, 2024
Аналитики указывают, что хакеры маскируют вредоносное ПО под видео или изображения. Это позволяет им заразить устройство практически без участия пользователя, считают в Certik.
По этой причине эксперты рекомендуют аудитории Telegram отключить функцию автоматической загрузки медиафайлов в мессенджере. Таким образом, по их мнению, можно в некоторой степени обезопасить себя от зараженного программного обеспечения.
Часть пользователей социальной платформы X (ранее Twitter) подвергли критике заявления компании. Они отмечают, что об этой проблеме мессенджера известно давно и различные эксперты неоднократно предупреждали об рисках автоматической загрузки медиафайлов.
Lol, this is an issue for over a year now.
— Fugazi Finance (@fugazifinance) April 9, 2024
Ранее компания столкнулась с критикой со стороны Web3-сообщества за другое свое заявление. В ноябре 2023 года команда CertiK сообщила о выявлении уязвимости в смартфоне Solana Saga. Эксперты фирмы утверждали, что устройство компании можно взломать и похитить все данные пользователя.
Однако специалисты Solana и комьюнити блокчейна опровергли утверждения CertiK. Они отметили, что представители компании использовали не конкретную уязвимость Saga, а разблокировали загрузчик смартфона.
Это входит в перечень расширенных функций многих аппаратов на базе Android. Для активации опции злоумышленник должен иметь непосредственный доступ к устройству, подчеркнули в Solana.
Будь в курсе! Подписывайся на Криптовалюта.Tech в Telegram.