Ще у лютому цього року дослідник з компанії Google на ім’я Ден Ріва (Dan Reva) знайшов дуже серйозну вразливість у версії Телеграму для MacOS. Завдяки ній атакувальник міг використовувати камеру та мікрофон комп’ютера.
Дрібним шрифтом для фахівців: вразливість дозволяла інжект динамічної бібліотеки з експлоїтом.
Тобто хакер мав можливість записувати відео зі звуком прямо з комп’ютера жертви та зберігати файл в одній з прихованих папок на маку. Більше того, аудіо- та відеозапис працював навіть після того, як відповідні дозволи анулювалися користувачем (!).
Тобто вразливість от прямо супер-гіпер-критична.
Як відповідальна особа, за канонами responsible disclosure, Ден повідомив адміністрацію Телеги про виявлену гранд-проблем, ще у лютому. Повідомив MITRE. Повідомив VINCE.
Нормальні компанії як мінімум дякують за таке, як максимум – платять притомні гроші (і дякують).
Що зробив Телеграм?
Пральна, забив піструна. Тобто повністю проігнорував.
А що це значить?
Шо якщо хтось у Телеграмі і займається безпекою, то абияк. Або, може, викликають якусь зовнішню компанію раз на місяць «зробіть нам зашибісь». Або понабирали друзів-родичів-коханок у кібербезпеку. Або ще щось подібне.
Суть же полягає у тому, що проблему розміром з Атлантичний океан тупо ігнорували. Три місяці намагалися не помічати, аж поки Ден не опублікував вразливість 15 травня (CVE-2023-26818)
У ніжному західному суспільстві, де немає війни, а кібервійна не така очевидна, подібний вчинок є неоднозначним з точки зору етики та навіть законодавства.
Але з точки зору ефективності – це просто топчик. Проблема одразу стає предметом всесвітнього обговорення і її дуже швидко починають вирішувати. Привіт, #FRD, до речі.
Але цікаво як сам Телеграм пояснив цю ситуацію після публікації вразливості: «Вразливість працює для комп’ютерів, які вже інфіковані шкідливим софтом, і тільки якщо додаток скачано з магазину AppStore, а не з офіційного сайту Telegram». І шо начебто «Apple вже готує оновлену версію месенджера».
Це читається у цілком впізнаваному хамському рашн-стилі «ви самі винні, при чому тут Дія, ем, тобто Телеграм?»
Як би повела себе компанія здорової людини? Приблизно так: «Ой сорі, ми не побачили повідомлення через недбалість співробітника, вибачте-вибачте три рази, проблема дійсно серйозна, ми вже працюємо разом з Apple над її вирішенням, бо безпека користувачів – то наше все, до вечора вже все виправимо, бла-бла-бла».
Але ж весь проект Telegram – російський, з відповідною бізнес-культурою, комунікаціями та ставленням до користувачів.
То чи варто встановлювати це фсб-шне Г собі на телефон, планшет, комп’ютер?
Чи краще бути поміркованими патріотами та знести його до бісової матері?
Чому знести було б гарною ідеєю я постійно розказую, і буду це робити й надалі.
Останні історії на цю тему тут і тут.
Серйозно кажу, знесіть у себе Телегу.
Джерело: https://censor.net/ua/b3419134
Підписуйтесь на наш Telegram канал Enigma