Через Telegram можна перехопити доступ до камери MacBook, але для цього потрібно повністю контролювати комп’ютер – компанія готує виправлення

Чи в Telegram є вразливість, що дозволяє захопити камеру MacBook? Формально так, але для її використання потрібний повний контроль над комп’ютером, а компанія вже готує виправлену версію програми. Хоча програміст Google Дан Рева поінформував Telegram про вразливість у лютому, виправлення готується лише зараз, після публічного розголошення інформації.

Коротко суть проблеми: порівняно з App Store для iOS у магазині застосунків macOS вимоги для програм дещо нижче. Потенційно це дозволяє обійти Hardened Runtime (захищене середовище, «пісочницю») за відсутності захисту у програмах. Вразливість важко реалізувати практично – для цього потрібно отримати контроль над комп’ютером іншими способами. Творці застосунків не зобов’язані додавати захист від уразливості – хоча можуть це зробити, особливо якщо їх повідомили про неї.

На початку лютого співробітник Google Дан Рева виявив спосіб захопити контроль над камерою пристрою в macOS за допомогою цієї вразливості, про що повідомив Telegram. Компанія, можливо, не визнала повідомлення важливим і проігнорувала його. Через чотири з половиною місяці програміст опублікував докладний звіт про проблему, про що написали ЗМІ

Павло Дуров у відповідь написав пост про те, що «жодної вразливості не було». Він описав проблему так:

Пояснюючи свою реакцію, Дуров зазначив, що практично вразливість не є важливою і привернення уваги до неї нівелює важливість повідомлень про порушення безпеки як такі:

Заради справедливості слід зауважити, що Telegram могли б закрити вразливість раніше (Дан Рева показав, як), піклуючись про користувачів – нехай і чисто формально, без великого практичного значення. Тоді можливі зловмисники, які захопили контроль над MacBook іншими засобами, мали б менше способів нашкодити його власнику.

Джерела: Forbes, Павел Дуров