Telegram'dan xavfsizlik zaifligi topildimi?
Google injinerlaridan biri, Dan Reva messenjerning macOS versiyasida xavfsizlik zaifligini aniqladi va bu kiberxavfsizlik bo'yicha tadqiqotchi Mett Yoxansen orqali e'lon qilindi.
Ma'lum bo'lishicha, Google injineri fevral oyida Telegram'ning macOS versiyasida tizimga suqilib kirgan uchinchi tomonga, ya'ni xakerga kompyuterning kamera va mikrofonidan foydalanish imkonini beradigan xavfsizlik zaifligini topgan. U bu haqda Telegram jamoasini ogohlantirgan, lekin messenjer tomondan javob kelmagach, zaiflik kiberxavfsizlik ishqibozi orqali ommaga ochiqlangan.
Mett Yoxansen o'zining Twitter sahifasida yozishicha, zaiflik uchinchi tomon dinamik kutubxonasini (Dylib) macOS uchun Telegram'ga integratsiyalashda bo'lib, bu messenjer Apple'ning xavfsizlik mexanizmlaridan to'g'ri foydalanmayotgani tufayli yuzaga keladi. Bu mexanizmlarning biri dastur xotirasini manipulyatsiya qilishdan va zararli kodni kiritishdan himoya qilsa, boshqasi ilovalarning mikrofon, kamera va boshqa qurilma funksiyalariga kirish huquqlarini nazorat qiladi. Telegram'ning ulardan to'g'ri foydalanmasligi esa uning nomidan va uning huquqlari bilan kameradan video yozib oladigan va uni faylga saqlaydigan uchinchi tomon dinamik kutubxonasini yaratish, so'ng uni ishga tushirish imkonini beradi. Shu bilan birga, tanganing ikkinchi tomoni yoxud zaiflikning kelib chiqishida Apple'ning ham aybi bor, chunki kompaniya macOS ilovalarida o'zining xavfsizlik mexanizmini talab qilmaydi, iOS ilova uchun esa talab qiladi.
Telegram vakili Kod Durova nashriga ma'lum qilishicha, zaiflik standart holatda foydalanuvchi maxfiyligini xatarga qo'ymaydi yoxud yuqoridagi holat yuzaga kelishi uchun zararli dastur allaqachon tizimga o'rnatilgan bo'lishi va tizim ildizi (root) qo'lga kiritilgan bo'lishi kerak.
"Bu holat Telegram'dan ko'ra ko'proq Apple'ning xavfsizlik ruxsatlari bilan bog'liq va bu har qanday macOS ilovasi bilan sodir bo'lishi mumkin. Haqiqiy muammo shundaki, uchinchi tomon ilovalarini mana shunday xavfdan himoya qilish uchun maxsus ishlab chiqilgan Apple'ning sandbox cheklovlarini chetlab o'tish mumkinga o'xshaydi.", – deydi Telegram vakili.
Shuningdek, Telegram vakili o'zlari tomonidan barcha ishni qilganliklarini va bu zaiflikni yopadigan xavfsizlik yangilanishi allaqachon App Store'da mavjud ekanligini ta'kidlaydi. Ularning qo'shimcha qilishicha, rasmiy Telegram saytidan yuklab olingan ilovada bunday zaiflik bo'lmagan va foydalanuvchilar maxfiyligi umuman xavf ostida bo'lmagan.
