Инженер Google Дэн Рева обнаружил в версии мессенджера Telegram для macOS опасную уязвимость, которая активирует камеру и микрофон без ведома владельца устройства.

Таким образом, используя уязвимость стороннего мессенджера, злоумышленники могут обойти механизмы защиты Apple и получить доступ к конфиденциальной информации с устройства пользователя, считает Рева.

Суть уязвимости заключается в интеграции в клиент Telegram сторонней динамической библиотеки (Dylib). С её помощью можно от имени мессенджера вести запись видео с камеры и микрофона устройства, сохраняя файлы в память. Dylib способен незаметно активировать камеру компьютера для записи видео без каких-либо уведомлений или системных индикаций, способных вызвать у пользователя подозрения. Разумеется, индикатор активности камеры злоумышленники обойти не могут, но зачастую пользователи либо вовсе не обращают на него внимания, либо могут решить, что индикатор активировался просто по причине запуска Telegram.

Так как приложения, запущенные через терминал, наследуют его профиль в «песочнице», злоумышленник может воспользоваться механизмом LaunchAgent — системной службой сценариев в macOS. Это позволит автоматически запускать вредоносную Dylib при запуске системы, обходя ограничения, связанные с терминалом. Как итог: внедрённая злоумышленником библиотека будет работать даже после перезагрузки и без необходимости открытия клиента мессенджера.

Уязвимость появилась из-за того, что команда разработчиков Telegram не использует должным образом встроенные в macOS системы безопасности: Hardened Runtime (защищает от манипуляций с памятью приложений и внедрения вредоносного кода) и Entitlements (контролирует права доступа приложений к микрофону, камере и прочим функциям компьютера).

Сообщается, что об ошибке стало известно ещё в феврале этого года. Всё это время исследователь пытался связаться с разработчиками мессенджера и опубликовал детальные подробности только после того, как не получил обратную связь.

В официальном аккаунте мессенджера отметили, что проблема появляется только при использовании версии приложения из App Store на Mac. Обновление с исправлением уже находится на рассмотрении Apple. На приложения, скачанные с сайта Telegram, проблема не распространяется, добавили в компании.