Павел Дуров опровергает выводы специалиста компании Google, который ранее на этой неделе сообщал о проблеме, обнаруженной в Telegram для macOS. По словам Дурова, в приложении нет никакой уязвимости, а СМИ гонятся за громкими заголовками.
Напомню, что о проблеме, получившей идентификатор CVE-2023-26818, в начале текущей недели рассказал инженер компании Google Дэн Рева (Dan Revah).
В своем блоге Рева объяснял, что баг позволяет внедрить в Telegram для macOS динамическую библиотеку, осуществить локальное повышение привилегий и получить доступ к камере и микрофону через разрешения, которые ранее уже были установлены в Telegram. Он подчеркивал, что даже пользователь root в macOS не имеет разрешения на доступ к микрофону, записи экрана и так далее, если предварительно не было получено прямое согласие на такие действия от пользователя.
Рева писал, что проблема связана с механизмом контроля доступа приложений к файлам (Transparency, Consent, and Control или TCC), а также неиспользовании Telegram защитных механизмов Entitlements и Hardened Runtime. Дело в том, что iOS требует, чтобы приложения, загружаемые в App Store, использовали права Hardened Runtime, а вот для macOS подобных требований нет.
Тогда официальный аккаунт Telegram в Twitter сообщал, что проблема актуальна только для устройств Apple уже зараженных малварью с root-доступом, а также присутствует только в версии Telegram, загруженной из AppStore. То есть если в приложении с официального сайта бага уже нет. В компании сообщили, что патч уже находится на рассмотрении Apple, а значит, версия в AppStore тоже скоро будет исправлена.
Теперь на эту проблему обратил внимание и Павел Дуров. Глава Telegram заявил в своем канале, что никакой уязвимости вовсе не было. Ниже цитируем его сообщение полностью.
«Российские газеты пишут, что Telegram якобы "подтвердил уязвимость" в приложении для компьютеров от компании Apple. Это не так.
Напротив, в нашем сообщении мы объяснили, что никакой уязвимости не было. Потому что заявленная “уязвимость” заключалась в следующем: "Если бы у злоумышленника уже был доступ к Вашему компьютеру, он мог бы управлять Вашей камерой и микрофоном через Telegram". Но если компьютер уже скомпрометирован, то доступ к микрофону через Telegram — меньшая из проблем, о которых стоит беспокоиться.
Как я отмечал ранее, в технических аспектах СМИ часто гонятся за громкими заголовками и вводят в заблуждение пользователей.
Это печально: в результате люди могут не придать значения настоящим угрозам. Например, в WhatsApp простого принятия звонка или просмотра видеозаписи было достаточно, чтобы злоумышленник получил полный доступ к Вашему телефону. Из-за этой уязвимости WhatsApp становился шпионской программой, которая позволяла хакерам взломать любой смартфон с WhatsApp.
Если заголовки СМИ о мнимых и реальных угрозах будут одинаковыми, люди перестанут воспринимать их всерьез — получится, как в басне про мальчика, который без нужды кричал “Волк“».
