Есть ли в Telegram уязвимость, позволяющая захватить камеру MacBook? Формально да, но для ее использования требуется полный контроль над компьютером и компания уже готовит исправленную версию программы. Хотя программист Google Дан Рева проинформировал Telegram об уязвимости в феврале, исправление готовится только сейчас, после публичного разглашения информации.

Коротко суть проблемы: по сравнению с App Store для iOS в магазине приложений macOS требования для программ несколько ниже. Потенциально это позволяет обойти Hardened Runtime (защищенную среду, «песочницу») при отсутствии защиты в программах. Уязвимость трудно реализовать практически – для этого понадобиться получить контроль над компьютером другими способами. Создатели приложений не обязаны добавлять защиту от уязвимости – хотя могут это сделать, особенно если им сообщили о ней.

В начале февраля сотрудник Google Дан Рева обнаружил способ захватить контроль над камерой устройства в macOS с помощью этой уязвимости, о чем проинформировал Telegram. Компания, возможно, не сочла сообщение важным и проигнорировала его. Спустя четыре с половиной месяца программист опубликовал подробный отчет о проблеме, о чем написали СМИ.

Павел Дуров в ответ написал пост о том, что «никакой уязвимости не было». Он описал проблему следующим образом:

Объясняя свою реакцию, Дуров отметил, что практически уязвимость не важна и привлечение внимания к ней нивелирует важность сообщений об нарушениях безопасности как таковых:

Ради справедливости нужно заметить, что Telegram могли бы закрыть уязвимость раньше (Дан Рева показал, как), проявляя заботу о пользователях – пусть и чисто формальную, не имеющую большого практического значения. Тогда у возможных злоумышленников, захвативших контроль над MacBook другими средствами, было бы меньше способов навредить его владельцу.

Telegram обошёл по популярности Facebook Messenger и теперь уступает лишь WhatsApp

Источники: Forbes, Павел Дуров