Представители мессенджера Telegram подтвердили, что в приложении на MacOS есть уязвимость, которая позволяет через программу получить доступ к камере и микрофону пользователя без его ведома. Об этом представители социальной сети написали в Твиттер.

Проблема возможна только тех, у кого на компьютерах марки Apple скачано на MacOS из App Store и установлено вредоносное программное обеспечение, имеющее права супер-пользователя.

Представители Telegram подчеркнули, что обновление с исправлением уже находится на рассмотрении Apple, а на приложения, скачанные с сайта Telegram, проблема не распространяется.

Как пишет российская «Медиазона», инженер Google Дэн Рева еще в феврале обнаружил уязвимость. «Я не получал никакого ответа от Telegram больше месяца, несмотря на то, что несколько раз общался с ними», — написал Рева после того, как опубликовал инструкцию по внедрению в мессенджер кода для доступа к камере и микрофону.

Сотрудник Google объяснил, что для приложений, публикуемых в App Store для скачивания на телефоны с операционной системой IOS, существует правило, которое вынуждает разработчиков подписывать программу с разрешением Hardened Runtime. Этот механизм защищает целостность программного обеспечения, а также предотвращает определенные типы эксплойтов. Однако для MacOS такого требования нет.

В связи с этим в код приложения Telegram можно добавить Dylib, библиотеку с функциями захвата видео и сохранения записи на диск, написанную на языке Objective-C, который использует Apple. Потом приложение необходимо запустить через механизм LaunchAgents, выполняющий процессы в фоновом режиме.