В Telegram за macOS е открита уязвимост, която позволява достъп до камерата и микрофона

Предназначеното за macOS приложение на Telegram съдържа уязвимост, чрез която нападател може да получи достъп до уеб-камерата и микрофона на компютъра, откри инженерът на Google Дан Рева (Dan Revah).

Уязвимостта на клиента Telegram под macOS беше разкрита още през февруари, като в същото време администрацията на платформата получи известие за това. Но ръкводството на Telegram не отговори на съобщението и Рева реши да разгласи откритието си.

Уязвимостта възникна поради възможността за интегриране на странична динамична библиотека (Dylib) в Telegram. Поради това, приложението заобикаля защитата Hardened Runtime и Entitlements: първата е предназначена да предпазва от злонамерен код и манипулиране на паметта, а втората – да контролира достъпа до микрофона, камерата и други компютърни компоненти.

В резултат на това става възможно да внедрите на компютър своя собствена динамична библиотека, пускането на която ще стане от името на Telegram с негово пълномощно – това ще ви позволи тайно да записвате звук и видео, запазвайки записите във файл. Когато инструментът LaunchAgent е активиран, такава злонамерена библиотека ще може да се стартира след рестартиране на компютъра и за целта не е необходимо да отваряте месинджъра.

Проблемът възникна поради факта, че при macOS няма строго изискване за поддръжка на Hardened Runtime в приложенията, докато при iOS това изискване е налично.