реклама
Новости Software

В приложении Telegram для macOS обнаружена уязвимость, открывающая доступ к камере и микрофону

Предназначенное для macOS приложение Telegram содержит уязвимость, через которую злоумышленник может получить доступ к веб-камере и микрофону компьютера, обнаружил инженер Google Дэн Рева (Dan Revah).

 Источник изображения: Rubaitul Azad / unsplash.com

Источник изображения: Rubaitul Azad / unsplash.com

Уязвимость клиента Telegram под macOS была выявлена ещё в феврале, и тогда же администрация платформы получила о ней уведомление. Но администрация Telegram на сообщение не отреагировала, и Рева принял решение предать своё открытие широкой огласке.

Уязвимость возникла из-за возможности интеграции в Telegram сторонней динамической библиотеки (Dylib). Из-за этого приложение обходит средства защиты Hardened Runtime и Entitlements: первое предназначено для защиты от вредоносного кода и манипуляций с памятью, а второе — для контроля над доступом к микрофону, камере и другим компонентам компьютера.

В результате становится возможным внедрить на компьютер собственную динамическую библиотеку, запуск которой будет производиться от имени Telegram с его полномочиями — она позволит негласно записывать звук и видео, сохраняя записи в файле. При включении инструмента LaunchAgent такая вредоносная библиотека сможет самостоятельно запускаться после перезагрузки компьютера, а открывать мессенджер для этого уже не потребуется.

Проблема возникла из-за того, что на macOS отсутствует жёсткое требование поддержки Hardened Runtime в приложениях, тогда как на iOS оно есть.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Вечерний 3DNews
Каждый будний вечер мы рассылаем сводку новостей без белиберды и рекламы. Две минуты на чтение — и вы в курсе главных событий.
Материалы по теме
window-new
Soft
Hard
Тренды 🔥
«Ни разу не задумывался о возвращении»: ветераны разработки игр объяснили, почему уходят из больших компаний 2 ч.
ИИ помог Instagram и Facebook дольше удерживать внимание пользователей 2 ч.
Android 16 выйдет не позднее июня 2025 года — Google полностью меняет график разработки 3 ч.
Microsoft снова отложила релиз скандальной ИИ-функции Recall — теперь до декабря 3 ч.
Продажи игр серии Call of Duty достигли 500 миллионов копий — больше только у «Марио» 3 ч.
«Чёрт, выглядит всё лучше и лучше»: новый геймплейный трейлер Vampire: The Masquerade — Bloodlines 2 заинтриговал фанатов 4 ч.
Telegram получил большое обновление: настройка качества видео, расширенное редактирование сообщений и не только 4 ч.
ChatGPT теперь умеет искать информацию в интернете 5 ч.
На ПК и консолях состоялся релиз Dragon Age: The Veilguard — фанаты ждали этого 10 лет 6 ч.
Epic Games Store устроил раздачу Ghostwire: Tokyo, но не для российских игроков 7 ч.