Рубрики НовиниСофт

Через Telegram можна перехопити доступ до камери MacBook, але для цього потрібно повністю контролювати комп’ютер – компанія готує виправлення

Опубликовал
Андрей Русанов

Чи в Telegram є вразливість, що дозволяє захопити камеру MacBook? Формально так, але для її використання потрібний повний контроль над комп’ютером, а компанія вже готує виправлену версію програми. Хоча програміст Google Дан Рева поінформував Telegram про вразливість у лютому, виправлення готується лише зараз, після публічного розголошення інформації.

Коротко суть проблеми: порівняно з App Store для iOS у магазині застосунків macOS вимоги для програм дещо нижче. Потенційно це дозволяє обійти Hardened Runtime (захищене середовище, «пісочницю») за відсутності захисту у програмах. Вразливість важко реалізувати практично – для цього потрібно отримати контроль над комп’ютером іншими способами. Творці застосунків не зобов’язані додавати захист від уразливості – хоча можуть це зробити, особливо якщо їх повідомили про неї.

На початку лютого співробітник Google Дан Рева виявив спосіб захопити контроль над камерою пристрою в macOS за допомогою цієї вразливості, про що повідомив Telegram. Компанія, можливо, не визнала повідомлення важливим і проігнорувала його. Через чотири з половиною місяці програміст опублікував докладний звіт про проблему, про що написали ЗМІ

Павло Дуров у відповідь написав пост про те, що «жодної вразливості не було». Він описав проблему так:

Онлайн-курс "Business English" від Laba.
Вивчіть базу граматики, лексики та вокабуляру.Використовуйте англійську в спонтанній розмові з колегами та клієнтами.Прокачайте її до впевненого В1 — для розвитку кар’єри в бізнесі.
Приєднатись до курсу

«Якби у зловмисника вже був доступ до Вашого комп’ютера, він міг би керувати Вашою камерою та мікрофоном через Telegram». Але якщо комп’ютер уже скомпрометований, то доступ до мікрофона через Telegram — найменша з проблем, через яку варто турбуватися».

Пояснюючи свою реакцію, Дуров зазначив, що практично вразливість не є важливою і привернення уваги до неї нівелює важливість повідомлень про порушення безпеки як такі:

«Якщо заголовки ЗМІ про уявні та реальні загрози будуть однаковими, люди перестануть сприймати їх серйозно — вийде, як у байці про хлопчика, який без потреби кричав «Вовк».

Заради справедливості слід зауважити, що Telegram могли б закрити вразливість раніше (Дан Рева показав, як), піклуючись про користувачів – нехай і чисто формально, без великого практичного значення. Тоді можливі зловмисники, які захопили контроль над MacBook іншими засобами, мали б менше способів нашкодити його власнику.

Джерела: Forbes, Павел Дуров

Disqus Comments Loading...