Telegram démystifie une vulnérabilité signalée dans une application de bureau et confirme la sécurité mobile
L’application de messagerie crypto-friendly Telegram a démenti les affirmations selon lesquelles une vulnérabilité sur sa plate-forme exposait ses utilisateurs à des attaques.
La prétendue vulnérabilité
La société de sécurité Blockchain CertiK a déclaré le 9 avril que l’application de bureau de Telegram présentait une vulnérabilité potentielle d’exécution de code à distance (RCE) à haut risque. L’entreprise déclaré:
« Possibilité de RCE détectée dans le traitement multimédia de Telegram dans l’application Telegram Desktop. Ce problème expose les utilisateurs à des attaques malveillantes via des fichiers multimédias spécialement conçus, tels que des images ou des vidéos.
Selon CertiK, cette vulnérabilité pourrait permettre à des acteurs malveillants d’envoyer du RCE aux utilisateurs, les exposant potentiellement à des attaques via des fichiers multimédias spécialement conçus.
La société de sécurité a précisé que la vulnérabilité se limite aux applications de bureau, qui peuvent exécuter des programmes contenus dans des fichiers. Les applications mobiles ne sont pas affectées, car elles n’exécutent pas de programmes.
CertiK a conseillé aux utilisateurs de désactiver la fonction de téléchargement automatique sur l’application de bureau pour des raisons de sécurité. Les utilisateurs peuvent ajuster leurs paramètres de téléchargement multimédia en téléchargements manuels dans les paramètres de l’application.
La réponse de Telegram
Dans un article du 9 avril sur X (anciennement Twitter), Telegram a déclaré que les vidéos tendances étaient probablement un canular car une telle vulnérabilité n’existait pas sur sa plateforme.
Néanmoins, la plateforme a exhorté les utilisateurs à signaler toute menace ou vulnérabilité potentielle de ses applications via son programme de bug bounty.
Pendant ce temps, un porte-parole de CertiK a déclaré CryptoSlate que l’entreprise n’était pas en contact avec Telegram et que la nouvelle de la vulnérabilité provenait de la communauté de la sécurité. Il a ajouté que la version mobile de l’application de messagerie était sécurisée contre cette vulnérabilité car elle « n’exécute pas directement les programmes exécutables comme les ordinateurs de bureau, qui nécessitent généralement des signatures ».
CertiK a en outre déclaré que sa publication sur les réseaux sociaux sur la vulnérabilité visait à sensibiliser au problème potentiel et à rappeler aux utilisateurs les meilleures pratiques.
Le message Telegram démystifie la vulnérabilité signalée dans l’application de bureau et confirme que la sécurité mobile est apparue en premier sur CryptoSlate.