Telegram aborda el exploit de la cámara y apunta a los permisos de seguridad de macOS de Apple
La aplicación de mensajería Telegram ha restado importancia a la gravedad de un exploit descubierto que permitía a los investigadores acceder a los controladores de la cámara de dispositivos macOS de Apple.
El 15 de mayo, el ingeniero de software Dan Revah publicó en su blog el exploit, describiendo el método que le permitía obtener una escalada de privilegios local para acceder a la cámara de un usuario de macOS a través de los permisos concedidos previamente a una aplicación de Telegram instalada.
Al inyectar una biblioteca dinámica en el sistema del usuario, el exploit permitiría grabar desde la cámara del dispositivo y guardar el archivo. Revah también afirma que el exploit permite a un atacante saltarse el sandbox del terminal utilizando un agente de lanzamiento. Un atacante también podría obtener más privilegios en el sistema accediendo a áreas de privacidad restringida.
Cointelegraph se puso en contacto con Telegram para confirmar si su equipo había abordado las preocupaciones planteadas por Revah y para determinar la gravedad del exploit identificado. El portavoz de Telegram, Remi Vaughn, dijo que los usuarios de Telegram no están en riesgo por defecto, puesto que el exploit requiere la instalación de malware en sus sistemas:
“Esta situación tiene más que ver con la seguridad de los permisos de Apple que con Telegram y puede afectar potencialmente a cualquier app de macOS como resultado. El verdadero problema es que parece posible saltarse las restricciones del sandbox de Apple que se crearon específicamente para evitar este tipo de abusos de aplicaciones de terceros”.
Vaughn dijo que Telegram había ejecutado cambios que recibieron la aprobación de la App Store de Apple a finales del 16 de mayo. También añadió que los usuarios que descargaron la aplicación de Telegram directamente desde el sitio web de la aplicación de mensajería no corrían ningún riesgo.
Cointelegraph se ha puesto en contacto con Apple para obtener un comentario oficial sobre el exploit.
Telegram lanzó una actualización en diciembre de 2022, permitiendo a los usuarios crear cuentas utilizando números anónimos basados en blockchain para aumentar la privacidad y la seguridad.
La función requiere que los usuarios compren números anónimos basados en blockchain en la plataforma de subastas descentralizada Fragment. Los nombres de usuario y números anónimos vendidos en la plataforma solo son compatibles con Telegram, y se compran y venden utilizando los tokens The Open Network (TON), nativos de la aplicación, .
En noviembre de 2022, el fundador de Telegram, Pavel Durov, indicó que la plataforma crearía una serie de herramientas y servicios descentralizados tras la quiebra del exchange de criptomonedas FTX de Sam Bankman-Fried.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.
Sigue leyendo:
Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto total invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.