Telegram Desmente Falhas de Execução Remota de Código em Seu Aplicativo para Desktop
12 de Abril de 2024

Embora o Common Vulnerabilities and Exposures (CVE), banco de dados que registra vulnerabilidades e exposições relacionadas à segurança da informação, operado pela MITRE ATT&CK, tenha divulgado uma vulnerabilidade supostamente encontrada no aplicativo de desktop do Telegram, classificada como de alto risco, o serviço de mensagens instantâneas rejeitou as acusações em uma publicação no X (ex-Twitter) feita na terça-feira, 9.

A empresa contestou as acusações feitas pela empresa de segurança blockchain CertiK, que havia emitido avisos ao público sobre uma suposta vulnerabilidade no aplicativo de desktop do Telegram.

Segundo postagens feitas pela CertiK no mesmo dia, a vulnerabilidade poderia expor os usuários a ataques de execução remota de código (RCE) através de arquivos de mídia especialmente criados, como imagens ou vídeos.

A CertiK publicou no X (@CertiKAlert), alertando os usuários sobre a vulnerabilidade alegada.

A empresa também forneceu um guia de como desativar downloads automáticos de mídia.

Um aviso similar foi compartilhado no canal oficial da CertiK (CertikComunidade) no próprio Telegram.

A CertiK se descreve como “pioneira em segurança blockchain que utiliza inteligência artificial (IA) de ponta para proteger e monitorar protocolos blockchain”.

Afirmou ter tomado conhecimento do problema por meio da comunidade de segurança e destacou que a vulnerabilidade não afetava os sistemas móveis devido à dependência destes em assinaturas de programas e seus mecanismos de execução de arquivos diferenciados em relação aos desktops.

O Telegram, por sua vez, fez uma postagem no X negando a existência da vulnerabilidade, sugerindo até que a prova de vídeo do bug apresentada poderia ser uma farsa.

Embora detalhes técnicos e a confirmação oficial sobre a vulnerabilidade em questão ainda estejam indisponíveis, a exploração do aplicativo oficial de desktop do Telegram já foi previamente documentada.

Especialistas em segurança identificaram técnicas de exploração similares anteriormente.

No início de 2021, um pesquisador de segurança encontrou uma vulnerabilidade no Telegram que permitia aos atacantes enviar stickers animados modificados, que podiam ser utilizados para comprometer os dados das vítimas de forma maliciosa.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...