У Telegram виявили небезпечний баг, який дає змогу зловмисникам активувати камеру та мікрофон на ноутбуках із macOS. Про це повідомив інженер Google Ден Рева, пише Forbes.

Він виявив вразливість у додатку Telegram для macOS і зміг обійти TCC, надавши несанкціонований доступ до конфіденційних даних користувача та записавши того через камеру.

CVE-2023-26818: Latest blog post on how I found a vulnerability in Telegram's macOS app and was able to bypass TCC, giving me unauthorized access to sensitive user data and recording the user via camera. 🔒 📸#Cybersecurity #macOS https://t.co/HJwvJSE7Tv

— Dan Revah (@danrevah) May 15, 2023

Зі свого боку, фахівець із кібербезпеки Метт Йохансен пояснив, що цей баг дозволяє зловмисникам записувати відео зі звуком з камери, а файл зберігати в прихованій папці на Mac. При цьому запис можна здійснити, навіть за умови вимкнення відповідних дозволів. Фахівець вважає це можливим тому, що Telegram не використовує вбудований механізм безпеки Apple Hardened Runtime.

🚨 A new vulnerability found in Telegram that can grant access to your camera and microphone.

Found by an engineer at Google, reported to Telegram and they haven't addressed it.

So now we get a detailed public disclosure!

How this works and what it means for your privacy 👇

— Matt Johansen (@mattjay) May 15, 2023

Примітно, що про цю вразливість інженер Google повідомив ще в лютому цього року. Але розробники досі її не усунули.

При цьому в Telegram запевняють, що віддалений доступ до камер і мікрофонів можливий лише, якщо на Mac встановлено шкідливе програмне забезпечення з root-доступом. Також така ситуація реальна в разі використання Telegram для macOS, який завантажений з App Store, і оновлення з виправленням перебувають на розгляді.

«Якщо ви завантажили програму з нашого сайту, вас це не торкнеться», – попередили в Telegram.

Раніше повідомлялося, що Telegram для macOS отримав новий режим Power Saving Mode, який має зменшити енергоспоживання застосунку. Нововведення доступне в версії Telegram 9.4.1.