کشف یک آسیبپذیری مهم در تلگرام؛ دانلود خودکار فایلها را غیرفعال کنید
شرکت امنیتی سرتیک (CertiK) در آخرین گزارش خود، مدعی شده آسیبپذیری بزرگی در نسخه دسکتاپ تلگرام وجود دارد که کاربران این پیامرسان را در معرض حملات سایبری قرار میدهد.
به گزارش میهن بلاکچین و به نقل از سرتیک، آسیبپذیری مهمی در نسخه دسکتاپ تلگرام وجود دارد که به هکرها اجازه میدهد از طریق پردازش فایلهای رسانهای در این پیامرسان، حملات اجرای کد از راه دور (Remote Code Execution) یا به اختصار RCE را انجام دهند.
کشف آسیبپذیری بزرگی در تلگرام؛ کاربران چه کاری باید انجام دهند؟
شرکت سرتیک در توییتی در این رابطه نوشته است:
این آسیبپذیری از طریق فایلهای رسانهای خاص مثل تصاویر یا ویدیوها، کاربران را در معرض حملات سایبری و مخرب قرار میدهد.
به گفته یکی از سخنگویان این شرکت امنیتی، آسیبپذیری مذکور تنها در نسخه دسکتاپ تلگرام وجود دارد و با توجه به اینکه در نسخه موبایل برنامهها مستقیما اجرا نمیشوند و معمولا به دسترسی نیاز دارند، خطری کاربران نسخههای موبایل تلگرام را تهدید نمیکند.
به منظور جلوگیری از این آسیبپذیری، سرتیک توصیه کرده کاربران تلگرام دانلود خودکار فایلها در نسخه دسکتاپ را غیرفعال کنند. برای این کار، باید وارد تنظیمات تلگرام در نسخه دسکتاپ شوید و گزینه «Advanced» را انتخاب کنید. سپس قابلیت دانلود خودکار عکسها، ویدیوها و فایلها را برای تمامی چتها (چتهای شخصی، گروهها و کانالها) غیرفعال کنید.
در واکنش به این گزارش، شرکت تلگرام وجود آسیبپذیری RCE در این پیامرسان را رد کرد و مدعی شد هیچ خطری کاربران این پیامرسان معروف را تهدید نمیکند.
اما برخی از کارشناسان امنیتی معتقدند مشکل دانلود خودکار فایلهای رسانهای و حملات اجرای کد از راه دور در تلگرام چیز جدیدی نیست و از مدتها قبل وجود داشته است. یانیک اکل (Yannick Eckl)، یکی از افراد علاقهمند و به فضای کریپتو و سئوی خاکستری در این رابطه میگوید:
این مشکل در بسیاری از محافل امنیت فناوری اطلاعات شناخته شده بود و از قبل نیز وجود داشت.
تلگرام یکی از محبوبترین پیامرسانها در جهان است و در ماههای اخیر با معرفی کیف پول حضانتی خود، امکان انتقال و نگهداری ارزهای دیجیتال مختلف از جمله بیت کوین و تون کوین را برای کاربران فراهم کرده است.
حضانتی بودن کیف پول تلگرام به این معنی است که کاربران به طور پیشفرض به کلیدهای خصوصی خود دسترسی ندارند و خود تلگرام مسئولیت نگهداری از کلیدهای خصوصی و دارایی کاربران را برعهده گرفته است.
آسیبپذیری اخیر تلگرام اولین آسیبپذیری در این پیامرسان نیست. در سال ۲۰۲۳ نیز دن روا (Dan Reva)، باگ مهمی را در تلگرام کشف کرد که از طریق آن هکرها میتوانستند به دوربین و میکروفون کاربران در لپتاپهای با سیستمعامل macOS دسترسی پیدا کنند.
در سال ۲۰۲۱ نیز یکی از کارشناسان امنیتی شرکت شیلدر (Shielder) آسیبپذیری مشابهی در فایلهای رسانهای تلگرام کشف کرد که ظاهرا به هکرها این امکان را میداد تا از طریق استیکرهای متحرک دستکاری شده، به دادههای کاربران دسترسی پیدا کنند.
تلگرام اما در سالهای گذشته تمام تلاش خود را برای برطرف کردن آسیبپذیریهای احتمالی خود انجام داده است. برنامه باگ بانتی تلگرام از سال ۲۰۱۴ فعال بوده و به افرادی که باگها و آسیبپذیریهای مختلف این پیامرسان را گزارش میکنند، بین ۱۰۰ تا ۱۰۰٬۰۰۰ دلار یا حتی بیشتر پاداش میدهد.
