A empresa de segurança blockchain, CertiK, afirma ter descoberto uma grande vulnerabilidade no Telegram Messenger que poderia expor os usuários a ataques maliciosos, mas o próprio Telegram está chamando a ameaça de farsa.
O Alerta CertiK acessou a plataforma de mídia social X, para alertar o público contra uma vulnerabilidade de alto risco, potencialmente permitindo que hackers implementassem um ataque de execução remota de código (RCE) por meio do processamento de mídia do Telegram.
De acordo com a postagem, a equipe da CertiK descobriu um possível ataque RCE no processamento de mídia do Telegram no aplicativo para Desktop.
A CertiK explicou:
“Esse problema expõe os usuários a ataques maliciosos por meio de arquivos de mídia especialmente criados, como imagens ou vídeos.”
Um representante da CertiK disse que a vulnerabilidade é exclusiva do aplicativo Telegram para desktop porque o celular não executa diretamente programas executáveis como desktops, que geralmente exigem assinaturas. O representante lembrou que as notícias sobre o assunto vieram da comunidade de segurança.
Para evitar a vulnerabilidade, CertiK diz que os usuários devem verificar a configuração do Telegram Desktop e desativar o recurso de download automático. O recurso pode ser desativado acessando “Configurações” e tocando em “Avançado”.
“Na seção ‘Download automático de mídia’, desative o download automático de ‘Fotos’, ‘Vídeos’ e ‘Arquivos’ em todos os tipos de bate-papo (bate-papos privados, grupos e canais).”
Apesar do aviso da CertiK, um representante do Telegram disse que a empresa não pode confirmar a existência de tal vulnerabilidade nos clientes do Telegram e rotulou a ameaça como provavelmente uma farsa.
Telegram é um importante mensageiro compatível com criptomoedas que permite aos usuários se comunicarem, trocarem arquivos e transacionarem criptomoedas como Bitcoin (BTC) e Toncoin (TON) usando sua solução de carteira de custódia chamada.
A parte “custódia” significa que a Carteira não fornece aos usuários a chave privada por padrão. Em vez disso, coloca os ativos sob a sua própria custódia para ajudar os recém-chegados à indústria a evitar responsabilidades de autocustódia.
Embora o próprio Telegram afirme que não há perigo representado pelo download automático de arquivos de mídia, o entusiasta da criptomoedas, Yannick Eckl, disse que o problema não é novo.
“É um problema conhecido em muitos círculos de segurança de TI, mas obviamente não em todos.”
Em 2023, o engenheiro do Google, Dan Reva, encontrou um bug significativo que poderia permitir que invasores ativassem a câmera e o microfone em laptops com macOS.
Em 2021, um pesquisador de segurança da Shielder descobriu um problema semelhante relacionado à mídia no Telegram, que supostamente permitia que invasores enviassem adesivos animados modificados, o que poderia ter exposto os dados das vítimas.
No entanto, o Telegram tem abordado ativamente possíveis vulnerabilidades em seu aplicativo. O programa de recompensas por bugs do Telegram está ativo desde 2014, oferecendo aos desenvolvedores e à comunidade de pesquisa de segurança a oportunidade de enviar seus relatórios e ser elegível para recompensas que variam de US$100 a US$100.000 ou mais, dependendo da gravidade do problema.
