CertiK 在 Telegram 上发现高危漏洞

区块链安全公司 CertiK 发布了一份新报告，显示 Telegram Messenger 上存在一个新漏洞，使用户面临恶意攻击。 在 X 上的帖子中，该安全公司提到了黑客可以利用该漏洞通过 Telegram 的媒体处理部署远程代码执行 (RCE) 攻击。

CertiK 详细介绍了 Telegram 桌面应用程序的漏洞

该帖子澄清说，黑客可以利用 Telegram 桌面应用程序上的媒体处理，从而部署 RCE 攻击。 CertiK 指出，用户可能会通过特制的媒体文件而遭受这些恶意攻击。 CertiK 表示：“这个问题使用户面临通过特制媒体文件（例如图像或视频）的恶意攻击。”

#CertiKInsight ⚠️
我们在野外发现了一个高风险漏洞，
请检查您的电报配置以提高安全性
👇👇👇👇👇
在 Telegram Desktop 应用程序的 Telegram 媒体处理中检测到可能的 RCE。
此问题使用户面临通过以下方式进行的恶意攻击：

— CertiK 警报 (@CertiKAlert) 2024 年 4 月 9 日

据 CertiK 发言人称，该漏洞仅限于桌面应用程序。 他指出，移动应用程序并不像需要签名的桌面程序那样直接执行可执行程序。 该发言人还指出，是安全社区发现了该问题。 为了避免该漏洞，CertiK 敦促用户在其 Telegram 应用程序的桌面配置中禁用自动下载功能。

用户可以通过单击“设置”然后选择“高级”来禁用自动下载功能。 自动媒体下载选项弹出后，他们可以在所有媒体文件上切换禁用按钮。

解决漏洞的响应和措施

Telegram 是一款通讯应用程序，自推出以来就取得了相当大的成功。 这款加密货币友好的应用程序允许用户交易所消息、图片、视频以及比特币和 Toncoin 等数字资产。 它允许用户通过使用其名为钱包 的托管钱包来执行这些与加密货币相关的活动。 该平台拥有一个托管钱包，可以帮助那些在自我托管方面仍处于新手状态的加密货币新手。

Telegram 迅速回复了 X 上的更新，指出该漏洞并不存在。 “我们无法确认是否存在这样的漏洞。 该视频很可能是一个骗局，”该消息应用程序说道。

我们无法确认是否存在此类漏洞。 该视频很可能是一个骗局。

任何人都可以报告我们应用程序中的潜在漏洞并获得奖励：https://t.co/UkzPFSVigy

— Telegram Messenger (@telegram) 2024 年 4 月 9 日

然而，这并不是该平台第一次报告漏洞。 2023 年，Google 工程师 Dan Reva 发现了一个漏洞，可以帮助黑客激活 macOS 笔记本电脑上的摄像头和麦克风。

Telegram 还一直在不懈地努力发现和解决其平台上的漏洞。 该消息应用程序自 2014 年以来一直在运行一个错误赏金计划，为研究人员和开发人员提供发现应用程序问题而获得高达 100,000 美元奖励的机会。 此外，该应用程序还敦促任何在该应用程序上发现问题的人进行报告。 Telegram 表示：“任何人都可以报告我们应用程序中的潜在漏洞并获得奖励。”