Администрация Telegram подтвердила существование уязвимости, которая позволяет с помощью внедрения дополнительного кода в программу получить доступ к камере и микрофону пользователя без его ведома. Об этом представители социальной сети написали под тредом о проблеме приложения.

Как уточняется в комментарии, уязвимостью могут воспользоваться только те, у кого на компьютерах марки Apple установлено вредоносное программное обеспечение, имеющее права супер-пользователя (они позволяют снимать ограничения на взаимодействие с операционной системой). Проблема касается только приложений, которые были скачаны на MacOS из App Store.

Сейчас обновление Telegram находится на рассмотрении, добавила администрация мессенджера.

Инженер Google Дэн Рева еще в феврале обнаружил уязвимость. «Я не получал никакого ответа от Telegram больше месяца, несмотря на то, что несколько раз общался с ними», — написал Рева после того, как опубликовал инструкцию по внедрению в мессенджер кода для доступа к камере и микрофону.

Сотрудник Google объяснил, что для приложений, публикуемых в App Store для скачивания на телефоны с операционной системой IOS, существует правило, которое вынуждает разработчиков подписывать программу с разрешением Hardened Runtime. Этот механизм защищает целостность программного обеспечения, а также предотвращает определенные типы эксплойтов. Однако для MacOS такого требования нет.

В связи с этим в код приложения Telegram можно добавить Dylib, библиотеку с функциями захвата видео и сохранения записи на диск, написанную на языке Objective-C, который использует Apple. Потом приложение необходимо запустить через механизм LaunchAgents, выполняющий процессы в фоновом режиме.