Telegramda kamera va mikrofonga kirish imkonini beruvchi zaiflik topildi

Ijtimoiy tarmoqlar

16 may, 14:20

Kiberxavfsizlik boʻyicha tadqiqotchi Mett Yoxansen Telegramdagi dasturiy zaiflikni fevral oyida topgan va tarmoq administratorlariga yuborgan, biroq qayta javob kelmagani uchun ochiq maʼlum qilishga qaror qilgan:

Google muhandisi Den Reva Telegramning macOS uchun versiyasida (MacBook, iMac kompyuterlari uchun) zaiflikni aniqladi. Ushbu zaiflik kiberhujumchilar uchun kompyuter kamerasi va mikrofoniga kirishiga imkon berishi mumkin.

Zaiflik uchinchi tomon zararli dinamik kutubxonasini (Dylib) macOS uchun Telegramga bogʻlash imkoniyatidadir, bu messenjer Appleʼning xavfsizlik mexanizmlari – Hardened Runtime va Entitlementsʼdan toʻgʻri foydalanmayotgani tufayli yuzaga keladi.

Hardened Runtime ilova xotirasini manipulyatsiya qilishdan va zararli kodni kiritishdan himoya qiladi, Entitlements esa ilovalarning mikrofon, kamera va boshqa qurilma funksiyalariga kirish huquqlarini nazorat qiladi.

Telefonga zararli dasturlarni yuklovchi 38 ta Android ilovasi. Ularni hoziroq o‘chiring

Ushbu holat Telegram nomidan (va uning huquqlari bilan) kameradan video yozib oladigan va uni faylga saqlaydigan uchinchi tomon dinamik kutubxonasini yaratish va amalga oshirish imkonini beradi.

Xabarda shuningdek zararli Dylibʼni avtomatik ravishda ishga tushirishiga sabab boʻluvchi bir nechta omillar sanab oʻtilgan. Natijada: xaker tomonidan kiritilgan kutubxona hatto telegram oʻchirilib qayta ishga tushirilganidan keyin ham ishlaydi va bunda messenjer ilovasini ochishga hojat ham yoʻq.

Mett Yoxansen taʼkidlaganidek, bu zaiflik uchun aybning bir qismi Apple zimmasiga yuklanadi, chunki kompaniya macOS ilovalarida Hardened Runtimeʼni talab qilmaydi. Biroq iPhoneʼlarda buning teskarisi: iOS ilovalarida Hardened Runtime majburiy.

Avvalroq Giglink.uz Google Playʼda pullik obunalarga ega yangi virus dasturlar aniqlanganini maʼlum qilgandi.