Enigma Enigma

Kostiantyn Korsun

2023-05-18 07:12:18 eye-2 3501   — comment 1

Ще одна історія чому Телеграм – це катастрофа з точки зору безпеки

Ще у лютому цього року дослідник з компанії Google на ім’я Ден Ріва (Dan Reva) знайшов дуже серйозну вразливість у версії Телеграму для MacOS. Завдяки ній атакувальник міг використовувати камеру та мікрофон комп’ютера.
Дрібним шрифтом для фахівців: вразливість дозволяла інжект динамічної бібліотеки з експлоїтом.
Тобто хакер мав можливість записувати відео зі звуком прямо з комп’ютера жертви та зберігати файл в одній з прихованих папок на маку. Більше того, аудіо- та відеозапис працював навіть після того, як відповідні дозволи анулювалися користувачем (!). 
Тобто вразливість от прямо супер-гіпер-критична.
Як відповідальна особа, за канонами responsible disclosure, Ден повідомив адміністрацію Телеги про виявлену гранд-проблем, ще у лютому. Повідомив MITRE. Повідомив VINCE.
Нормальні компанії як мінімум дякують за таке, як максимум – платять притомні гроші (і дякують).
Що зробив Телеграм? 
Пральна, забив піструна. Тобто повністю проігнорував. 
А що це значить? 
Шо якщо хтось у Телеграмі і займається безпекою, то абияк. Або, може, викликають якусь зовнішню компанію раз на місяць «зробіть нам зашибісь». Або понабирали друзів-родичів-коханок у кібербезпеку. Або ще щось подібне.
Суть же полягає у тому, що проблему розміром з Атлантичний океан тупо ігнорували. Три місяці намагалися не помічати, аж поки Ден не опублікував вразливість 15 травня (CVE-2023-26818)

У ніжному західному суспільстві, де немає війни, а кібервійна не така очевидна, подібний вчинок є неоднозначним з точки зору етики та навіть законодавства. 
Але з точки зору ефективності – це просто топчик. Проблема одразу стає предметом всесвітнього обговорення і її дуже швидко починають вирішувати. Привіт, #FRD, до речі. 
Але цікаво як сам Телеграм пояснив цю ситуацію після публікації вразливості: «Вразливість працює для комп’ютерів, які вже інфіковані шкідливим софтом, і тільки якщо додаток скачано з магазину AppStore, а не з офіційного сайту Telegram». І шо начебто «Apple вже готує оновлену версію месенджера».
Це читається у цілком впізнаваному хамському рашн-стилі «ви самі винні, при чому тут Дія, ем, тобто Телеграм?»
Як би повела себе компанія здорової людини? Приблизно так: «Ой сорі, ми не побачили повідомлення через недбалість співробітника, вибачте-вибачте три рази, проблема дійсно серйозна, ми вже працюємо разом з Apple над її вирішенням, бо безпека користувачів – то наше все, до вечора вже все виправимо, бла-бла-бла».

Але ж весь проект Telegram – російський, з відповідною бізнес-культурою, комунікаціями та ставленням до користувачів.
То чи варто встановлювати це фсб-шне Г собі на телефон, планшет, комп’ютер?
Чи краще бути поміркованими патріотами та знести його до бісової матері?
Чому знести було б гарною ідеєю я постійно розказую, і буду це робити й надалі.
Останні історії на цю тему тут і тут.
Серйозно кажу, знесіть у себе Телегу. 
Джерело: https://censor.net/ua/b3419134

Підписуйтесь на наш Telegram канал Enigma