CertiK 在 Telegram 上发现高危漏洞
区块链安全公司 CertiK 发布了一份新报告,显示 Telegram Messenger 上存在一个新漏洞,使用户面临恶意攻击。 在 X 上的帖子中,该安全公司提到了黑客可以利用该漏洞通过 Telegram 的媒体处理部署远程代码执行 (RCE) 攻击。
CertiK 详细介绍了 Telegram 桌面应用程序的漏洞
该帖子澄清说,黑客可以利用 Telegram 桌面应用程序上的媒体处理,从而部署 RCE 攻击。 CertiK 指出,用户可能会通过特制的媒体文件而遭受这些恶意攻击。 CertiK 表示:“这个问题使用户面临通过特制媒体文件(例如图像或视频)的恶意攻击。”
#CertiKInsight ⚠️
我们在野外发现了一个高风险漏洞,
请检查您的电报配置以提高安全性
👇👇👇👇👇
在 Telegram Desktop 应用程序的 Telegram 媒体处理中检测到可能的 RCE。
此问题使用户面临通过以下方式进行的恶意攻击:— CertiK 警报 (@CertiKAlert) 2024 年 4 月 9 日
据 CertiK 发言人称,该漏洞仅限于桌面应用程序。 他指出,移动应用程序并不像需要签名的桌面程序那样直接执行可执行程序。 该发言人还指出,是安全社区发现了该问题。 为了避免该漏洞,CertiK 敦促用户在其 Telegram 应用程序的桌面配置中禁用自动下载功能。
用户可以通过单击“设置”然后选择“高级”来禁用自动下载功能。 自动媒体下载选项弹出后,他们可以在所有媒体文件上切换禁用按钮。
解决漏洞的响应和措施
Telegram 是一款通讯应用程序,自推出以来就取得了相当大的成功。 这款加密货币友好的应用程序允许用户交易所消息、图片、视频以及比特币和 Toncoin 等数字资产。 它允许用户通过使用其名为钱包 的托管钱包来执行这些与加密货币相关的活动。 该平台拥有一个托管钱包,可以帮助那些在自我托管方面仍处于新手状态的加密货币新手。
Telegram 迅速回复了 X 上的更新,指出该漏洞并不存在。 “我们无法确认是否存在这样的漏洞。 该视频很可能是一个骗局,”该消息应用程序说道。
我们无法确认是否存在此类漏洞。 该视频很可能是一个骗局。
任何人都可以报告我们应用程序中的潜在漏洞并获得奖励:https://t.co/UkzPFSVigy
— Telegram Messenger (@telegram) 2024 年 4 月 9 日
然而,这并不是该平台第一次报告漏洞。 2023 年,Google 工程师 Dan Reva 发现了一个漏洞,可以帮助黑客激活 macOS 笔记本电脑上的摄像头和麦克风。
Telegram 还一直在不懈地努力发现和解决其平台上的漏洞。 该消息应用程序自 2014 年以来一直在运行一个错误赏金计划,为研究人员和开发人员提供发现应用程序问题而获得高达 100,000 美元奖励的机会。 此外,该应用程序还敦促任何在该应用程序上发现问题的人进行报告。 Telegram 表示:“任何人都可以报告我们应用程序中的潜在漏洞并获得奖励。”