CertiK 揭露 Telegram 漏洞:加密货币持有者面临风险
区块链安全公司 CertiK 已就 Telegram 桌面应用程序中检测到的可能漏洞发布了警告通知。这引发了对用户可能遭受恶意攻击的担忧。
然而,以其加密友好消息传递平台而闻名的Telegram驳斥了这些说法,声称其系统中不存在此类漏洞。
Telegram 上的涉嫌漏洞Certik 声称 Telegram 的桌面应用程序,特别是其媒体处理功能,包含一个重大的远程代码执行 (RCE) 漏洞。据称,它通过图像或视频等媒体文件使用户受到攻击。
该公司指出,该漏洞仅影响执行文件中包含的程序的桌面应用程序。但是,移动应用程序不受影响。
Telegram迅速回应了CertiK的说法,称它无法验证该漏洞,并暗示这可能是错误信息。然而,CertiK 展示了对 Telegram 最新 Windows 桌面版本的 RCE 攻击,强化了其最初的说法。因此,它建议用户在达成完全解决方案之前保持谨慎。
我们在 Windows 上的最新 TG Desktop(版本 4.16.6 x64)中重现了一次 RCE 攻击。 所有功劳都归功于最初报告该问题的原始安全研究人员(github:el-garro)。pic.twitter.com/AJ6s1arjnB
— CertiK 警报 (@CertiKAlert) 2024 年 4 月 12 日CertiK 建议用户查看其 Telegram 设置并停用自动下载功能以缓解漏洞。尽管如此,Telegram 此后还是解决了 CertiK 的重新披露,并引用了最近针对类似问题的服务器端修复。该公司澄清说,已解决的漏洞需要特定的用户交互和高级条件。
“Certik 在我们通知他们有关服务器端修复的问题后发布了此消息,该问题与他们最初暗示的问题类似(但需要用户交互;要求用户安装 Python;并且无法通过自动下载触发),“Telegram说。
Telegram 是一个广泛使用的信使平台,以其对加密货币友好的环境而闻名。该应用程序使用户能够通过其托管钱包解决方案进行通信、交换文件和进行加密货币交易,包括比特币。
最近,Telegram开始允许用户使用Toncoin(TON)购买广告,并推出了一项收入分享计划来奖励频道所有者。
