اخبار عمومی

کشف یک آسیب‌پذیری مهم در تلگرام؛ دانلود خودکار فایل‌ها را غیرفعال کنید

شرکت امنیتی سرتیک (CertiK) در آخرین گزارش خود، مدعی شده آسیب‌پذیری بزرگی در نسخه دسکتاپ تلگرام وجود دارد که کاربران این پیامرسان را در معرض حملات سایبری قرار می‌دهد.

به گزارش میهن بلاکچین و به نقل از سرتیک، آسیب‌پذیری مهمی در نسخه دسکتاپ تلگرام وجود دارد که به هکرها اجازه می‌دهد از طریق پردازش فایل‌های رسانه‌ای در این پیامرسان، حملات اجرای کد از راه دور (Remote Code Execution) یا به اختصار RCE را انجام دهند.

کشف آسیب‌پذیری بزرگی در تلگرام؛ کاربران چه کاری باید انجام دهند؟

شرکت سرتیک در توییتی در این رابطه نوشته است:

این آسیب‌پذیری از طریق فایل‌های رسانه‌ای خاص مثل تصاویر یا ویدیوها، کاربران را در معرض حملات سایبری و مخرب قرار می‌دهد.

به گفته یکی از سخنگویان این شرکت امنیتی، آسیب‌پذیری مذکور تنها در نسخه دسکتاپ تلگرام وجود دارد و با توجه به اینکه در نسخه موبایل برنامه‌ها مستقیما اجرا نمی‌شوند و معمولا به دسترسی نیاز دارند، خطری کاربران نسخه‌های موبایل تلگرام را تهدید نمی‌کند.

به منظور جلوگیری از این آسیب‌پذیری، سرتیک توصیه کرده کاربران تلگرام دانلود خودکار فایل‌ها در نسخه دسکتاپ را غیرفعال کنند. برای این کار، باید وارد تنظیمات تلگرام در نسخه دسکتاپ شوید و گزینه «Advanced» را انتخاب کنید. سپس قابلیت دانلود خودکار عکس‌ها، ویدیوها و فایل‌ها را برای تمامی چت‌ها (چت‌های شخصی، گروه‌ها و کانال‌ها) غیرفعال کنید.

غیرفعال‌سازی دانلود خودکار در تلگرام دسکتاپ - منبع: CertiK
غیرفعال‌سازی دانلود خودکار در تلگرام دسکتاپ – منبع: CertiK

در واکنش به این گزارش، شرکت تلگرام وجود آسیب‌پذیری RCE در این پیامرسان را رد کرد و مدعی شد هیچ خطری کاربران این پیامرسان معروف را تهدید نمی‌کند.

اما برخی از کارشناسان امنیتی معتقدند مشکل دانلود خودکار فایل‌های رسانه‌ای و حملات اجرای کد از راه دور در تلگرام چیز جدیدی نیست و از مدت‌ها قبل وجود داشته است. یانیک اکل (Yannick Eckl)، یکی از افراد علاقه‌مند و به فضای کریپتو و سئوی خاکستری در این رابطه می‌گوید:

این مشکل در بسیاری از محافل امنیت فناوری اطلاعات شناخته شده بود و از قبل نیز وجود داشت.

تلگرام یکی از محبوب‌ترین پیامرسان‌ها در جهان است و در ماه‌های اخیر با معرفی کیف پول حضانتی خود، امکان انتقال و نگهداری ارزهای دیجیتال مختلف از جمله بیت کوین و تون کوین را برای کاربران فراهم کرده است.

حضانتی بودن کیف پول تلگرام به این معنی است که کاربران به طور پیش‌فرض به کلیدهای خصوصی خود دسترسی ندارند و خود تلگرام مسئولیت نگهداری از کلیدهای خصوصی و دارایی کاربران را برعهده گرفته است.

آسیب‌پذیری اخیر تلگرام اولین آسیب‌پذیری در این پیامرسان نیست. در سال ۲۰۲۳ نیز دن روا (Dan Reva)، باگ مهمی را در تلگرام کشف کرد که از طریق آن هکرها می‌توانستند به دوربین و میکروفون کاربران در لپ‌تاپ‌های با سیستم‌عامل macOS دسترسی پیدا کنند.

در سال ۲۰۲۱ نیز یکی از کارشناسان امنیتی شرکت شیلدر (Shielder) آسیب‌پذیری مشابهی در فایل‌های رسانه‌ای تلگرام کشف کرد که ظاهرا به هکرها این امکان را می‌داد تا از طریق استیکرهای متحرک دستکاری شده، به داده‌های کاربران دسترسی پیدا کنند.

تلگرام اما در سال‌های گذشته تمام تلاش خود را برای برطرف کردن آسیب‌پذیری‌های احتمالی خود انجام داده است. برنامه باگ بانتی تلگرام از سال ۲۰۱۴ فعال بوده و به افرادی که باگ‌ها و آسیب‌پذیری‌های مختلف این پیامرسان را گزارش می‌کنند، بین ۱۰۰ تا ۱۰۰٬۰۰۰ دلار یا حتی بیشتر پاداش می‌دهد.

نوشته های مشابه

اشتراک
اطلاع از
0 دیدگاه
جدید ترین
قدیمی ترین محبوب ترین
Inline Feedbacks
View all comments
دکمه بازگشت به بالا