Приложение Telegram для MacBook может быть использовано, чтобы получить доступ к камере и микрофону устройства. Уязвимость, которая позволяет это сделать, обнаружил разработчик Google Дэн Ревах, о чем написал в своем блоге. Программист нашел уязвимость еще в феврале 2023 года, однако опубликовал информацию о ней в мае, так как компания Telegram не ответила на его сообщения об угрозе приватности пользователей.
Найденная брешь в безопасности Telegram позволяет записывать любые видео с камеры и аудио с микрофона MacBook, используя тот факт, что пользователь дал разрешения Telegram на доступ к камере и микрофону. В целом в операционной системе macOS подобные действия обычно ограничены, однако Дэн Ревах нашел, как обойти их, используя именно разрешения, данные приложению Telegram. Он написал программу, которая успешно запустила процесс записи видео, используя инфраструктуру Telegram, а потом сохранила записанное видео.
Уязвимость — это возможность нарушить работу приложения, то есть сам факт наличия уязвимости еще не означает, что ею кто-то пользовался. Однако при обнаружении уязвимостей, особенно тех, что угрожают безопасности и приватности пользователей, компании — владельцы приложений, как правило, стремятся их ликвидировать. Однако, по сообщению Реваха, Telegram не ответил на его сообщения.
Официальный аккаунт Telegram отметил в Twitter, что уязвимость можно использовать, только если некто уже имеет доступ к MacBook жертвы.
Кроме того, уязвимость работает только для приложения, скачанного в официальном App Store, а в версии, скачанной с сайта, уязвимости нет.
В феврале 2023 года издание Wired рассказало о возможности выгружать информацию из закрытых чатов в Telegram, даже несмотря на настройки приватности.
Telegram — это один из главных в России мессенджеров, его используют почти 40% жителей страны. Главная претензия к мессенджеру — приложение не использует для обычных переписок сквозное шифрование по умолчанию, в отличие от того же WhatsApp. У Telegram такая схема работает только в «секретных чатах», которыми мало кто пользуется. Доказательств сотрудничества Telegram с российскими властями нет, но главная проблема мессенджера — это даже не подозрения в связях с ФСБ, а то огромное количество информации, которое о человеке можно получить, просто наблюдая за его аккаунтом. The Insider ранее писал о том, как силовики или мошенники могут получить доступ к вашим перепискам, что можно узнать о вас по одному никнейму в Telegram, а также как обезопасить свои переписки тем, кому есть что хранить в секрете.