Secondo un nuovo rapporto pubblicato dalla società di sicurezza blockchain CertiK, un'importante vulnerabilità del messenger Telegram potrebbe esporre gli utenti ad attacchi malevoli.
In data odierna, CertiK Alert è intervenuto sulla piattaforma di social media X al fine di mettere in guardia il pubblico da una "vulnerabilità ad alto rischio in circolazione", che potrebbe consentire agli hacker di sferrare un attacco di esecuzione di codice remoto (RCE) attraverso l'elaborazione dei media di Telegram.
Secondo il post, il team di CertiK ha rilevato un "possibile attacco RCE" nell'elaborazione dei media di Telegram sull'applicazione Telegram Desktop.
"Tale problema espone gli utenti ad attacchi malevoli attraverso file multimediali appositamente creati, come immagini o video", riporta CertiK.
Un portavoce di CertiK ha dichiarato a Cointelegraph che la vulnerabilità interessa esclusivamente l'applicazione Telegram desktop, in quanto i dispositivi mobili "non eseguono direttamente programmi eseguibili come i desktop, che generalmente richiedono firme". Il rappresentante ha sottolineato che la notizia del problema è giunta dalla community specializzata in sicurezza.
Per evitare la vulnerabilità, gli utenti dovrebbero controllare la configurazione di Telegram Desktop e disabilitare la funzione di download automatico. La funzione può essere disattivata andando su "Impostazioni" e selezionando "Avanzate".
"Nella sezione 'Download automatico dei media', disabilitate il download automatico di 'Foto', 'Video' e 'File' in tutti i tipi di chat (chat private, gruppi e canali)", spiega CertiK.
Cointelegraph ha contattato Telegram per ottenere un commento sulla vulnerabilità del servizio di messaggistica, ma senza ricevere risposta al momento della pubblicazione.
Telegram è un importante messenger compatibile con le criptovalute che permette agli utenti di comunicare, scambiare file e transare crypto come Bitcoin (BTC) e Toncoin (TON) utilizzando la sua soluzione di wallet custodial chiamata, semplicemente, Wallet.
La definizione "custodial" sta a significare che non fornisce agli utenti la chiave privata per impostazione predefinita, ma pone gli asset sotto la propria custodia per aiutare i nuovi operatori del settore a evitare le responsabilità di autocustodia.
Le vulnerabilità appena scoperte su Telegram non sono le prime. Nel 2023, l'ingegnere di Google Dan Reva trovò un bug significativo che poteva consentire agli aggressori di attivare la fotocamera e il microfono sui computer portatili con sistema operativo macOS.
Allo stesso modo, nel 2021 un ricercatore di sicurezza di Shielder rilevò un problema simile collegato ai media su Telegram, che avrebbe permesso agli aggressori di inviare sticker animati modificati, che avrebbero potuto esporre i dati delle vittime.
Telegram ha comunque affrontato attivamente le potenziali vulnerabilità della sua app. Il programma di bug bounty di Telegram è attivo dal 2014 e offre agli sviluppatori e alla community di ricerca sulla sicurezza l'opportunità di inviare le proprie segnalazioni e di avere diritto a taglie che vanno da 100 a 100.000$ o più, a seconda della gravità del problema.
Traduzione a cura di Walter Rizzo