La aplicación de mensajería Telegram ha minimizado la gravedad de un exploit descubierto que permitió a los investigadores obtener acceso a los sistemas de cámara de los dispositivos Apple macOS.
El ingeniero de software Dan Revah llamó la atención sobre el exploit en una publicación de blog el 15 de mayo, explicando el método que le permite obtener una escalada de privilegios locales para acceder a la cámara de un usuario de macOS sobre los privilegios previamente otorgados a una aplicación de Telegram instalada.
Al inyectar una biblioteca dinámica en el sistema de un usuario, el exploit permitiría grabar desde la cámara del dispositivo y la capacidad de guardar el archivo. Revah también afirma que el exploit permite a un atacante eludir el sandbox de la terminal utilizando un agente de lanzamiento. Un atacante también podría obtener más privilegios en el sistema accediendo a áreas de privacidad restringidas.
Temas relacionados: La integración de TON Telegram subraya la sinergia de la comunidad blockchain
Cointelegraph contactó a Telegram para confirmar si su equipo había respondido a las inquietudes de Revah y para determinar la gravedad del exploit identificado. El portavoz de Telegram, Remi Vaughn, dijo que los usuarios de Telegram no están en riesgo de forma predeterminada, ya que el exploit requiere la instalación de malware en sus sistemas:
“Esta situación tiene más que ver con la seguridad de los permisos de Apple que con Telegram, por lo que podría afectar potencialmente a cualquier aplicación de macOS. El verdadero problema es que parece posible eludir las restricciones de sandbox de Apple, que se crearon específicamente para evitar el abuso de aplicaciones de terceros».
Vaughn dijo que Telegram realizó cambios que fueron aprobados por la tienda de aplicaciones de Apple a fines del 16 de mayo. También agregó que los usuarios que descargaron la aplicación Telegram directamente desde el sitio web de la aplicación de mensajería no estaban en riesgo.
Cointelegraph se ha comunicado con Apple para obtener un comentario oficial sobre el exploit.
Telegram lanzó una actualización en diciembre de 2022 que permite a los usuarios crear cuentas con números anónimos basados en blockchain para aumentar la privacidad y la seguridad.
Esta característica requiere que los usuarios compren números anónimos basados en blockchain de la plataforma de subastas descentralizada Fragment. Los nombres de usuario y los números anónimos vendidos en la plataforma solo son compatibles con Telegram y se compran y venden utilizando los tokens The Open Network (TON) nativos de la aplicación.
En noviembre de 2022, el fundador de Telegram, Pavel Durov, anunció que la plataforma crearía una variedad de herramientas y servicios descentralizados luego del colapso del intercambio de criptomonedas FTX de Sam Bankman-Fried.
Revista: Ordinals hizo de Bitcoin una peor versión de Ethereum: ¿Podemos arreglarlo?
