یک آسیبپذیری خطرناک در برنامه تلگرام برای مکاوس (سیستم عامل اپل برای کامپیوترهای مک) پیدا شده است، که به مهاجم اجازه میدهد به وبکم و میکروفن کامپیوتر قربانی دسترسی پیدا کند. دن ریوا مهندس گوگل این آسیبپذیری را کشف کرده است.
به گزارش خبرآنلاین، آسیبپذیری برنامه تلگرام در مکاوس در ماه فوریه پیدا و به تلگرام اطلاع داده شده است اما با گذشت حدود دو ماه بدون واکنش ماند تا اینکه دن ریوا تصیمیم گرفت اطلاعات این آسیبپذیری را به شکل عمومی منتشر کند.
در این آسیبپذیری به دلیل امکان ادغام یک کتابخانه پویای سوم شخص (Dylib) در تلگرام برنامههای محافظتی سیستم عامل که برای محافظت در برابر کدهای مخرب و دستکاری حافظه، و کنترل دسترسی به میکروفون، دوربین و سایر اجزای رایانه طراحی شدهاند، دور زده میشوند.
به این ترتیب برنامه تلگرام به مهاجم اجازه جاسازی یک کتابخانه پویای خارجی را میدهد که میتواند از امکانات تلگرام در سیستم به نفع خود استفاده کرده و کنترل میکروفن و دوربین کامپیوتر را در دست بگیرد. اگر ابزار LaunchAgent فعال باشد، چنین کتابخانه مخربی میتواند پس از راه اندازی مجدد کامپیوتر، خود را راه اندازی کند و نیازی به باز کردن برنامه تلگرام برای فعال شدن آن نیست.
این مشکل به این دلیل به وجود آمد که در مکاوس (سیستم عامل اپل برای کامپیوترهایش) الزام قاطعی برای پشتیبانی از Hardened Runtime در برنامهها وجود ندارد، در حالی که در آیاواس (سیستم عامل اپل برای آیفون) وجود دارد.
پاسخ ها