Есть ли в Telegram уязвимость, позволяющая захватить камеру MacBook? Формально да, но для ее использования требуется полный контроль над компьютером и компания уже готовит исправленную версию программы. Хотя программист Google Дан Рева проинформировал Telegram об уязвимости в феврале, исправление готовится только сейчас, после публичного разглашения информации.
Коротко суть проблемы: по сравнению с App Store для iOS в магазине приложений macOS требования для программ несколько ниже. Потенциально это позволяет обойти Hardened Runtime (защищенную среду, «песочницу») при отсутствии защиты в программах. Уязвимость трудно реализовать практически – для этого понадобиться получить контроль над компьютером другими способами. Создатели приложений не обязаны добавлять защиту от уязвимости – хотя могут это сделать, особенно если им сообщили о ней.
В начале февраля сотрудник Google Дан Рева обнаружил способ захватить контроль над камерой устройства в macOS с помощью этой уязвимости, о чем проинформировал Telegram. Компания, возможно, не сочла сообщение важным и проигнорировала его. Спустя четыре с половиной месяца программист опубликовал подробный отчет о проблеме, о чем написали СМИ.
Павел Дуров в ответ написал пост о том, что «никакой уязвимости не было». Он описал проблему следующим образом:
«Если бы у злоумышленника уже был доступ к Вашему компьютеру, он мог бы управлять Вашей камерой и микрофоном через Telegram». Но если компьютер уже скомпрометирован, то доступ к микрофону через Telegram — меньшая из проблем, о которых стоит беспокоиться».
Объясняя свою реакцию, Дуров отметил, что практически уязвимость не важна и привлечение внимания к ней нивелирует важность сообщений об нарушениях безопасности как таковых:
«Если заголовки СМИ о мнимых и реальных угрозах будут одинаковыми, люди перестанут воспринимать их всерьез — получится, как в басне про мальчика, который без нужды кричал «Волк».
Ради справедливости нужно заметить, что Telegram могли бы закрыть уязвимость раньше (Дан Рева показал, как), проявляя заботу о пользователях – пусть и чисто формальную, не имеющую большого практического значения. Тогда у возможных злоумышленников, захвативших контроль над MacBook другими средствами, было бы меньше способов навредить его владельцу.
Telegram обошёл по популярности Facebook Messenger и теперь уступает лишь WhatsApp
Источники: Forbes, Павел Дуров