Обнаруживший проблему исследователь несколько месяцев «бодался» с поддержкой «синего мессенджера», но наконец сдался и опубликовал информацию.
Один из инженеров по безопасности Google обнаружил в приложении Telegram на macOS уязвимость, которая может быть использована для получения несанкционированного доступа к камере устройства.
Обычно механизм TCC, внедрённый компанией Apple в macOS, препятствует доступу стороннего ПО к таким компонентам яблочных устройств, как камера и микрофон. Даже администраторы не имеют возможности использовать их, если приложению не было выдано соответствующее разрешение.
Telegram — это одно из тех приложений, которым требуется доступ к камере и микрофону компьютера для удовлетворения потребностей пользователя в простом бытовом общении средствами видеозвонков.
Исследователь обнаружил, что из-за отсутствия «защищенной среды выполнения» в приложении Telegram для macOS в него можно внедрить вредоносную динамическую библиотеку (Dylib), используя переменную «DYLD_INSERT_LIBRARIES». Внедренный Dylib запускает свой код ещё до запуска приложения Telegram, предоставляя полный доступ к определённым функциям, включая камеру устройства.
Dylib способен незаметно активировать камеру компьютера для записи видео без каких-либо уведомлений или системных индикаций, способных вызвать у пользователя подозрения. Разумеется, индикатор активности камеры злоумышленники обойти не могут, но зачастую пользователи либо вовсе не обращают на него внимания, либо могут решить, что индикатор активировался просто по причине запуска Telegram.
Следует отметить, что обычно сторонний код не может злоупотреблять доступом приложений к камере по той причине, что весь сторонний софт, как правило, запускается в изолированной среде. Однако исследователь обнаружил, что эту защиту можно обойти с помощью «LaunchAgents» для запуска приложения в фоновом режиме с помощью запланированного выполнения.
Записанные таким образом видео сохраняются локально в файле «/tmp /telegram.logs», откуда, гипотетически, киберпреступники позже могут извлечь их, серьезно нарушив конфиденциальность жертвы.
Можно смело предположить, что кто-то с более гнусными целями может запросто изменить вредоносный код, чтобы, например, транслировать видео с камеры напрямую на внешний URL-адрес. А такой функционал уже открывает гораздо большие возможности для слежки в режиме реального времени.
Данная уязвимость Telegram получила идентификатор CVE-2023-26818 и была обнаружена ещё 3 февраля этого года. Несмотря на многочисленные переписки исследователя со службой безопасности Telegram, никаких действий по устранению проблемы до сих пор предпринято не было.
После нескольких попыток согласовать раскрытие информации с Telegram исследователь сдался и буквально вчера опубликовал свой отчёт , раскрыв всю информацию, которая может потребоваться начинающему злоумышленнику для использования уязвимости. Тесты проводились с версией Telegram, скачанной из App Store. Исследователь не уточнил - работает ли уязвимость с версией мессенджера, скачанной с официального сайта Telegram.
Официальные представители Telegram пока никак не комментировали ситуацию с уязвимостью, однако стоит ожидать, что после поднятой шумихи исправление не заставит себя долго ждать.