CertiK dévoile la vulnérabilité des télégrammes : les détenteurs de cryptomonnaies sont à risque
- CertiK a détecté une vulnérabilité possible dans les applications de bureau Telegram
- Telegram a nié cette vulnérabilité, mais CertiK a démontré son existence en reproduisant une attaque sur la dernière version de l'application pour Windows
- Les utilisateurs sont conseils de désactiver le téléchargement automatique et Telegram assure avoir résolu un problème similaire récemment
- La plateforme populaire de messagerie permet également les transactions en crypto-monnaie et récemment introduit des fonctionnalités telles que l'achat d'espace publicitaire avec TON et un programme de partage des revenus.
La société de sécurité Blockchain CertiK a publié un avertissement concernant une éventuelle vulnérabilité détectée dans les applications de bureau de Telegram. Cela soulève des inquiétudes quant à l’exposition potentielle des utilisateurs à des attaques malveillantes.
Cependant, Telegram, connu pour sa plate-forme de messagerie crypto-friendly, a réfuté ces affirmations, affirmant qu'une telle vulnérabilité est absente de son système.
Vulnérabilité présumée sur Telegram
Certik a affirmé que l'application de bureau de Telegram, en particulier sa fonctionnalité de traitement multimédia, contenait une importante vulnérabilité d'exécution de code à distance (RCE). Il exposerait les utilisateurs à des attaques via des fichiers multimédias tels que des images ou des vidéos.
La société a précisé que la vulnérabilité affecte uniquement les applications de bureau qui exécutent des programmes contenus dans des fichiers. Toutefois, l’application mobile n’est pas affectée.
Telegram a rapidement répondu aux affirmations de CertiK, déclarant qu'il ne pouvait pas vérifier la vulnérabilité et suggérant qu'il pourrait s'agir d'une désinformation. Cependant, CertiK a démontré une attaque RCE sur la dernière version de bureau Windows de Telegram, renforçant ainsi son affirmation initiale. Par conséquent, il conseille aux utilisateurs de faire preuve de prudence jusqu'à ce qu'une résolution complète soit atteinte.
Nous avons REPRODUIT une attaque RCE sur le dernier TG Desktop sous Windows (version 4.16.6 x64).
Tous les crédits reviennent aux chercheurs en sécurité d'origine (github : el-garro) qui ont signalé le problème en premier.
CertiK recommande aux utilisateurs de revoir leurs paramètres Telegram et de désactiver la fonction de téléchargement automatique pour atténuer la vulnérabilité. Néanmoins, Telegram a depuis répondu à la nouvelle divulgation de CertiK, citant un récent correctif côté serveur pour un problème similaire. La société a précisé que la vulnérabilité résolue nécessitait des interactions utilisateur spécifiques et des conditions avancées.
un correctif côté serveur pour un problème similaire à celui auquel ils avaient initialement fait allusion (mais nécessitait une interaction de l'utilisateur ; exigeait que l'utilisateur ait Python installé ; et ne pouvait pas être déclenché par des téléchargements automatiques) », a déclaré Telegram.
Telegram est une plateforme de messagerie largement utilisée, reconnue pour son environnement convivial pour les crypto-monnaies. L'application permet aux utilisateurs de communiquer, d'échanger des fichiers et d'effectuer des transactions en crypto-monnaie, y compris Bitcoin, via sa solution de portefeuille de garde.
Lire la suite : Top 9 des chaînes de télégrammes pour les signaux cryptographiques en avril 2024
Récemment, Telegram a commencé à permettre aux utilisateurs d'acheter des publicités en utilisant Toncoin (TON) et a introduit un programme de partage des revenus pour récompenser les propriétaires de chaînes.
engage à fournir des rapports impartiaux et transparents Veuillez noter que nos conditions générales
