Ден Рева, розробник Google, який спеціалізується на кібербезпеці, зворотному інжинірингу та дослідженні вразливостей, виявив баг в Telegram на macOS, який дозволяє кіберзлочинцям отримувати доступ до камери користувача і записувати відео зі звуком навіть за умови, що доступ до камери та мікрофону додатку заборонений.
В Telegram знають про вразливість, але поки що не усунули її.
Як це працює
Як описує Рева, баг працює лише для MacOS через вразливість у додатку Telegram, яка полягає в тому, що дозволяє зловмисникам здійснювати завантаження шкідливого коду. Таким чином зловмисник може активувати камеру та мікрофону на пристроях, записувати відео зі звуком і завантажувати його як файл у приховану папку на Mac.
Рева зазначає, що навіть користувач з Root-доступом на macOS не має таких дозволів, якщо програма, яка хоче здійснити запис, не отримала пряму згоду від користувача під час виконання процесу.
Вразливість актуальна лише на macOS, оскільки на iOS всі додатки мають бути захищені з-допомогою механізму Hardened Runtime, який блокує додавання стороннього коду в додаток. Однак десктопна ОС не вимагає цього, і, як виявив Рева, Telegram для MacOS не застосував хардинг у версії своєї програми для macOS, а отже вона не захищена від інʼєкцій сторонніх DLL.
Рева написав код, який знімає відео з камери та зберігає запис на диск в обхід усіх вбудованих протоколів захисту на Mac, завантажив його в Telegram та отримав готовий 3-секундний запис. Весь процес інженер покроково описав у блозі.
«Це означає, що, використовуючи дозволи, надані Telegram через впровадження Dylib (динамічна бібліотека – ред.), ми змогли зробити запис з пристрою користувача. Слід зазначити, що навіть якби у нас був root-доступ до системи, ми все одно були б обмежені у відкритті мікрофона та камери. Таким чином, використання вразливості сторонньої програми може надати нам додаткові дозволи та дозволити обійти механізм конфіденційності Apple», – підсумував Рева.
І що тепер?
Як повідомляє Forbes, Рева повідомив про цю проблему команді Telegram, але розробники досі не усунули вразливість і декілька місяців не відповідали йому. Тому розробник вирішив публічно розповісти про вразливість.
Тему поширили у Twitter, і на одне з повідомлень відповіли представники Telegram, які зазначили, що працюють над усуненням багу. Також вони запевнили, що вразливість працює лише в версії Telegram, завантаженої з App Store, якщо ж скачувати програму з офіційного сайту компанії – баг працювати не буде. Рева це підтвердив. Також доступ до камери і мікрофона можна отримати за умови наявності root-прав.
Пізніше з заявою стосовно даної вразливості виступив Дуров. Він заявив, що вона насправді вразливості як такої немає, оскільки для того, щоб імплементувати описаний спосіб, шахраям необхідний повний доступ до компʼютера користувача.
«Заявлена «уразливість» полягала в наступному: «Якби у зловмисника вже був доступ до Вашого комп’ютера, він міг би керувати Вашою камерою та мікрофоном через Telegram». Але якщо комп’ютер уже скомпрометований, то доступ до мікрофону через Telegram — найменша з проблем, про які варто турбуватися», – зазначив Дуров.
І хоча таке хзауваження має сенс, це не означає, що зловмисники не придумають юзкейсів для даного багу.