Telegram giải quyết vấn đề khai thác máy ảnh, chỉ ra các quyền bảo mật của Apple macOS

Ứng dụng nhắn tin Telegram phủ nhận người dùng gặp rủi ro sau khi phát hiện lỗ hổng bảo mật có thể cho phép kẻ tấn công giành quyền kiểm soát camera của thiết bị trên hệ thống macOS.

Ứng dụng nhắn tin Telegram đã hạ thấp mức độ nghiêm trọng của một lỗi khai thác được phát hiện cho phép các nhà nghiên cứu có quyền truy cập vào hệ thống camera của người dùng Apple macOS.

Kỹ sư phần mềm Dan Revah đã gắn cờ khai thác trong một bài đăng trên blog vào ngày 15 tháng 5, phác thảo phương pháp cho phép anh ta leo thang đặc quyền cục bộ để truy cập máy ảnh của người dùng macOS thông qua các quyền được cấp trước đó cho ứng dụng Telegram đã cài đặt.

Bằng cách đưa Thư viện động vào hệ thống người dùng, việc khai thác sẽ cho phép ghi lại từ camera của thiết bị và khả năng lưu tệp. Revah cũng tuyên bố rằng việc khai thác cho phép kẻ tấn công vượt qua Sandbox của thiết bị đầu cuối bằng LaunchAgent. Kẻ tấn công cũng có thể giành được nhiều đặc quyền hơn đối với hệ thống bằng cách truy cập vào các khu vực hạn chế quyền riêng tư.

Cointelegraph đã liên hệ với Telegram để xác định xem nhóm của họ đã giải quyết những lo ngại do Revah nêu ra hay chưa và mức độ nghiêm trọng của việc khai thác đã xác định. Người phát ngôn của Telegram Remi Vaughn nói rằng người dùng Telegram không gặp rủi ro theo mặc định, với việc khai thác yêu cầu cài đặt phần mềm độc hại trên hệ thống của họ:

Tình huống này liên quan nhiều đến bảo mật quyền của Apple hơn là với Telegram và do đó có khả năng ảnh hưởng đến bất kỳ ứng dụng macOS nào. Vấn đề thực sự là dường như có thể bỏ qua các hạn chế hộp cát của Apple được tạo riêng để ngăn chặn việc lạm dụng các ứng dụng của bên thứ ba như vậy.

Vaughn nói rằng Telegram đã thực hiện các thay đổi hiện đang chờ phê duyệt từ App Store. Ông cũng nói thêm rằng những người dùng đã tải xuống ứng dụng Telegram trực tiếp từ trang web của ứng dụng nhắn tin sẽ không gặp rủi ro.

Cointelegraph đã liên hệ với Apple để đưa ra bình luận chính thức về việc khai thác.

Telegram đã phát hành một bản cập nhật vào tháng 12 năm 2022 cho phép người dùng tạo tài khoản bằng cách sử dụng các số ẩn danh dựa trên blockchain nhằm tăng cường quyền riêng tư và bảo mật.

Tính năng này yêu cầu người dùng mua các số ẩn danh do blockchain cung cấp từ nền tảng đấu giá phi tập trung Fragment. Tên người dùng và số ẩn danh được bán trên nền tảng chỉ tương thích với Telegram và được mua và bán bằng Token The Open Network (TON) gốc của ứng dụng.

Người sáng lập Telegram, Pavel Durov, đã chỉ ra rằng nền tảng này sẽ xây dựng một loạt các công cụ và dịch vụ phi tập trung vào tháng 11 năm 2022, sau sự sụp đổ của nền tảng giao dịch tiền điện tử Sam Bankman-Fried FTX.

Tạp chí: Ordinals đã biến Bitcoin thành một phiên bản tồi tệ hơn của Ethereum: Chúng ta có thể sửa nó không?

Theo CoinTelegraph