Embora o Common Vulnerabilities and Exposures (CVE), banco de dados que registra vulnerabilidades e exposições relacionadas à segurança da informação, operado pela MITRE ATT&CK, tenha divulgado uma vulnerabilidade supostamente encontrada no aplicativo de desktop do Telegram, classificada como de alto risco, o serviço de mensagens instantâneas rejeitou as acusações em uma publicação no X (ex-Twitter) feita na terça-feira, 9.
A empresa contestou as acusações feitas pela empresa de segurança blockchain CertiK, que havia emitido avisos ao público sobre uma suposta vulnerabilidade no aplicativo de desktop do Telegram.
Segundo postagens feitas pela CertiK no mesmo dia, a vulnerabilidade poderia expor os usuários a ataques de execução remota de código (RCE) através de arquivos de mídia especialmente criados, como imagens ou vídeos.
A CertiK publicou no X (@CertiKAlert), alertando os usuários sobre a vulnerabilidade alegada.
A empresa também forneceu um guia de como desativar downloads automáticos de mídia.
Um aviso similar foi compartilhado no canal oficial da CertiK (CertikComunidade) no próprio Telegram.
A CertiK se descreve como “pioneira em segurança blockchain que utiliza inteligência artificial (IA) de ponta para proteger e monitorar protocolos blockchain”.
Afirmou ter tomado conhecimento do problema por meio da comunidade de segurança e destacou que a vulnerabilidade não afetava os sistemas móveis devido à dependência destes em assinaturas de programas e seus mecanismos de execução de arquivos diferenciados em relação aos desktops.
O Telegram, por sua vez, fez uma postagem no X negando a existência da vulnerabilidade, sugerindo até que a prova de vídeo do bug apresentada poderia ser uma farsa.
Embora detalhes técnicos e a confirmação oficial sobre a vulnerabilidade em questão ainda estejam indisponíveis, a exploração do aplicativo oficial de desktop do Telegram já foi previamente documentada.
Especialistas em segurança identificaram técnicas de exploração similares anteriormente.
No início de 2021, um pesquisador de segurança encontrou uma vulnerabilidade no Telegram que permitia aos atacantes enviar stickers animados modificados, que podiam ser utilizados para comprometer os dados das vítimas de forma maliciosa.
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...