Telegram'дан хавфсизлик заифлиги топилдими?

Google инжинерларидан бири, Дан Рева мессенжернинг macOS версиясида хавфсизлик заифлигини аниқлади ва бу киберхавфсизлик бўйича тадқиқотчи Метт Ёхансен орқали эълон қилинди.

Маълум бўлишича, Google инжинери феврал ойида Telegram'нинг macOS версиясида тизимга суқилиб кирган учинчи томонга, яъни хакерга компютернинг камера ва микрофонидан фойдаланиш имконини берадиган хавфсизлик заифлигини топган. У бу ҳақда Telegram жамоасини огоҳлантирган, лекин мессенжер томондан жавоб келмагач, заифлик киберхавфсизлик ишқибози орқали оммага очиқланган.

Метт Ёхансен ўзининг Twitter саҳифасида ёзишича, заифлик учинчи томон динамик кутубхонасини (Dylib) macOS учун Telegram'га интеграциялашда бўлиб, бу мессенжер Apple'нинг хавфсизлик механизмларидан тўғри фойдаланмаётгани туфайли юзага келади. Бу механизмларнинг бири дастур хотирасини манипуляция қилишдан ва зарарли кодни киритишдан ҳимоя қилса, бошқаси иловаларнинг микрофон, камера ва бошқа қурилма функцияларига кириш ҳуқуқларини назорат қилади. Telegram'нинг улардан тўғри фойдаланмаслиги эса унинг номидан ва унинг ҳуқуқлари билан камерадан видео ёзиб оладиган ва уни файлга сақлайдиган учинчи томон динамик кутубхонасини яратиш, сўнг уни ишга тушириш имконини беради. Шу билан бирга, танганинг иккинчи томони ёхуд заифликнинг келиб чиқишида Apple'нинг ҳам айби бор, чунки компания macOS иловаларида ўзининг хавфсизлик механизмини талаб қилмайди, iOS илова учун эса талаб қилади.

Telegram вакили Код Дурова нашрига маълум қилишича, заифлик стандарт ҳолатда фойдаланувчи махфийлигини хатарга қўймайди ёхуд юқоридаги ҳолат юзага келиши учун зарарли дастур аллақачон тизимга ўрнатилган бўлиши ва тизим илдизи (роот) қўлга киритилган бўлиши керак.

"Бу ҳолат Telegram'дан кўра кўпроқ Apple'нинг хавфсизлик рухсатлари билан боғлиқ ва бу ҳар қандай macOS иловаси билан содир бўлиши мумкин. Ҳақиқий муаммо шундаки, учинчи томон иловаларини мана шундай хавфдан ҳимоя қилиш учун махсус ишлаб чиқилган Apple'нинг sandbox чекловларини четлаб ўтиш мумкинга ўхшайди.", – дейди Telegram вакили.

Шунингдек, Telegram вакили ўзлари томонидан барча ишни қилганликларини ва бу заифликни ёпадиган хавфсизлик янгиланиши аллақачон App Store'да мавжуд эканлигини таъкидлайди. Уларнинг қўшимча қилишича, расмий Telegram сайтидан юклаб олинган иловада бундай заифлик бўлмаган ва фойдаланувчилар махфийлиги умуман хавф остида бўлмаган.