У месенджері Telegram на macOS знайшли баг, який дозволяє зловмисникам отримувати доступ до камери й мікрофона людини без її дозволу й навіть попри її заборону на це в налаштуваннях, пише інженер Google Ден Рева.
Ще в лютому 2022 року він зміг виявити вразливість застосунку й обійти систему TCC. Завдяки цьому інженер отримав доступ до конфіденційних даних користувача та записав його через камеру. Тоді Ден Рева звернувся до розробників Telegram, проте, як зазначає, відповіді не отримав, а баг не усунули.
Фахівець із кібербезпеки Метт Йохансен каже, що баг дозволяє зловмисникам записувати відео з камери зі звуком та зберігати файл у приховану папку на Mac. Відео та звук будуть записані, навіть якщо користувач такі дозволи вимкнув. Він уточнює, що, найімовірніше, причина багу полягає в тому, що Telegram не використовує вбудований механізм безпеки Apple Hardened Runtime.
Тим часом у Telegram пояснили, що несанкціонований доступ до камери та мікрофона можливий лише за умови, що на Mac є шкідливе програмне забезпечення з root-доступом. Також це можливо, якщо людина завантажила Telegram для macOS з App Store. Тільки завантаження з офіційного сайту, за словами розробників, гарантує безпеку користувачів.