А если точнее, то уязвимость нашли в клиенте Telegram для macOS. С ее помощью инженер Google Дэн Рева сумел обойти механизмы защиты Apple и благодаря ей же смог активировать камеру и микрофон персонального компьютера.
Ахиллесова пята приложения заключается в возможности интеграции в Telegram для macOS сторонней динамической библиотеки Dylib. С ее помощью мошенники смогут записывать видео с камеры со звуком и сохранять файл в скрытую папку на Mac. Это возможно из-за того, что мессенджер не использует должным образом механизмы безопасности Apple — Hardened Runtime (защищает от манипуляций с памятью приложений и внедрения вредоносного кода) и Entitlements (контролирует права доступа приложений к микрофону, камере и прочим функциям компьютера). При этом запись видео и звука будет работать, даже если соответствующие разрешения отключены.
На запись Ревы отреагировал эксперт в области кибербезопасности Мэтт Йохансен. В Twitter он отметил, что механизм уязвимости был раскрыт несколько месяцев назад и разработчики Telegram знают об этом. Но обратной связи от них не было:
— Похоже, что Telegram не укрепил версию приложения, которое было загружено в App Store для macOS. Мы поняли это, потому что создали новый файл Dylib в Objective-C, который захватывает видео с камеры в течение трех секунд и сохраняет запись в скрытый файл.
Наш канал в Telegram. Присоединяйтесь!
Есть о чем рассказать? Пишите в наш телеграм-бот. Это анонимно и быстро