L’application de messagerie Telegram a minimisé la gravité d’un exploit découvert qui a permis aux chercheurs d’accéder aux systèmes de caméra des utilisateurs d’Apple macOS.
Ingénieur logiciel Dan Revah signalé l’exploit dans un article de blog le 15 mai, décrivant la méthode qui lui a permis d’obtenir une élévation de privilèges locale pour accéder à la caméra d’un utilisateur macOS via des autorisations précédemment accordées à une application Telegram installée.
En injectant une bibliothèque dynamique dans le système d’un utilisateur, l’exploit permettrait l’enregistrement à partir de la caméra de l’appareil et la possibilité de sauvegarder le fichier. Revah affirme également que l’exploit permet à un attaquant de contourner la Sandbox du terminal à l’aide de LaunchAgent. Un attaquant pourrait également obtenir plus de privilèges sur le système en accédant à des zones à confidentialité restreinte.
En relation: L’intégration de TON Telegram met en évidence la synergie de la communauté blockchain
Cointelegraph a contacté Telegram pour vérifier si son équipe avait répondu aux préoccupations soulevées par Revah et à la gravité de l’exploit identifié. Le porte-parole de Telegram, Remi Vaughn, a déclaré que les utilisateurs de Telegram ne sont pas à risque par défaut, l’exploit nécessitant l’installation de logiciels malveillants sur leurs systèmes :
« Cette situation a plus à voir avec la sécurité des autorisations d’Apple qu’avec Telegram et peut donc potentiellement affecter n’importe quelle application macOS. Le vrai problème est qu’il semble possible de contourner les restrictions de bac à sable d’Apple qui ont été créées spécifiquement pour empêcher un tel abus d’applications tierces.
Vaughn a déclaré que Telegram avait exécuté des modifications qui attendent maintenant l’approbation de l’App Store. Il a également ajouté que les utilisateurs qui téléchargeaient l’application Telegram directement depuis le site Web de l’application de messagerie n’étaient pas à risque.
Cointelegraph a contacté Apple pour un commentaire officiel concernant l’exploit.
Telegram a publié une mise à jour en décembre 2022 qui permet aux utilisateurs de créer des comptes en utilisant des numéros anonymes basés sur la blockchain dans le but d’accroître la confidentialité et la sécurité.
La fonctionnalité oblige les utilisateurs à acheter des numéros anonymes alimentés par la blockchain à partir de la plate-forme d’enchères décentralisée Fragment. Les noms d’utilisateur et les numéros anonymes vendus sur la plate-forme ne sont compatibles qu’avec Telegram et sont achetés et vendus à l’aide des jetons natifs The Open Network (TON) de l’application.
Le fondateur de Telegram, Pavel Durov, a indiqué que la plate-forme créerait une multitude d’outils et de services décentralisés en novembre 2022, à la suite de l’effondrement de l’échange de crypto-monnaie FTX de Sam Bankman-Fried.
Magazine : Les ordinaux ont transformé le Bitcoin en une pire version d’Ethereum : pouvons-nous y remédier ?