كشفت منصة أمان بلوكتشين سيرتيك عن ثغرة أمنية في تيليجرام يوم ٩ أبريل والتي تسمح للمتسللين بنشر هجوم تنفيذ التعليمات البرمجية عن بعد (RCE) من خلال “ملفات الوسائط المصممة خصيصًا، مثل الصور أو مقاطع الفيديو”.
يكشف اكتشاف CertiK عن ثغرة أمنية في Telegram
أثارت CertiK ناقوس الخطر في مشاركة Xواصفًا هجوم RCE بأنه “ثغرة أمنية عالية الخطورة في البرية”. تسمح ثغرة RCE للمهاجم بتنفيذ تعليمات برمجية عشوائية على جهاز بعيد، مما قد يؤدي إلى مستويات مختلفة من الضرر.
وأخبرت الشركة الأمنية وسائل الإعلام أن هجوم RCE كان حصريًا لإصدار سطح المكتب من Telegram، وليس تطبيقات الهاتف المحمول، لأنه لم يكن مصممًا لتشغيل البرامج القابلة للتنفيذ.
#سيرتيكينسايت ⚠️
نرى ثغرة أمنية عالية الخطورة في البرية،
يرجى التحقق من إعدادات برقية الخاص بك لتحسين الأمان!
👇👇👇👇👇
تم اكتشاف RCE محتمل في معالجة وسائط Telegram في تطبيق Telegram Desktop.
تعرض هذه المشكلة المستخدمين لهجمات ضارة من خلال…– تنبيه CertiK (@CertiKAlert) 9 أبريل 2024
بعد اكتشاف CertiK، المسؤول رد حساب Telegram X على هذا الادعاء وجادلوا بأنه لا توجد ثغرة أمنية في نظامهم وأن المشكلة على الأرجح مزيفة. شارك بعض مستخدمي X رأيهم، مشيرين إلى أن المشكلة ليست جديدة على المنصة.
لول ، هذه مشكلة منذ أكثر من عام الآن.
– فوجازي فاينانس (@ فوجازي فاينانس) 9 أبريل 2024
ليست هذه هي المرة الأولى التي أبلغت فيها Certik عن هجمات على Telegram. في أكتوبر 2023، حذرت شركة أمان blockchain المستخدمين من الرموز المميزة لبوت Telegram، والتي زعمت أنها قد تكون عمليات احتيال للخروج.
في عام 2021، كشف تقرير بحثي أمني صادر عن شركة Shielder أن تطبيق المراسلة تعرض لهجوم مماثل متعلق بالوسائط عن بعد مكّن المتسللين من إرسال ملصقات متحركة معدلة على إصدارات تطبيقات Android وiOS وMacOS. – مما يمنحهم إمكانية الوصول إلى ملفات الوسائط التي يشاركها الأشخاص في جميع أنواع الدردشات.
ومع ذلك، تم الإبلاغ عن المشكلات ومعالجتها من قبل فريق أمان Telegram.
في مايو 2023، اكتشف مهندس Google Dan Revah ثغرة مكّنت المهاجمين من القيام بذلك تفعيل الكاميرا والميكروفون على أجهزة الكمبيوتر المحمولة التي تعمل على برنامج MacOS.
CVE-2023-26818: أحدث منشور بالمدونة حول كيفية العثور على ثغرة أمنية في تطبيق Telegram's macOS وتمكني من تجاوز TCC، مما يمنحني وصولاً غير مصرح به إلى بيانات المستخدم الحساسة وتسجيل المستخدم عبر الكاميرا. 🔒 📸#الأمن الإلكتروني #ماك https://t.co/HJwvJSE7Tv
– دان ريفا (@ دانريفاه) 15 مايو 2023
هل يمكن للانتكاسة الأمنية الأخيرة أن تعرقل إدراج Telegram في وول ستريت؟
يتزامن اكتشاف CertiK لثغرة Telegram مع إعلان المنصة عن احتمال ظهورها لأول مرة في وول ستريت.
في شهر مارس، صرح بافيل دوروف، الرئيس التنفيذي لشركة Telegram، حصريًا لصحيفة Financial Times أن تطبيق المراسلة كان يفكر في طرح عام أولي في الولايات المتحدة، على خطى Reddit، التي استحوذت أسهمها على اهتمام المستثمرين. مع أكثر من 900 مليون مستخدم، وتقييم أولي قدره 90 مليار دولار، وزيادة الإيرادات، أصبح تطبيق الوسائط الاجتماعية جاهزًا للإدراج العام.
وأوضح: “بشكل عام، نحن نرى قيمة في (الاكتتاب العام) كوسيلة لإضفاء الطابع الديمقراطي على الوصول إلى قيمة Telegram”.
🔥 تلقت Telegram تقييمًا أوليًا بقيمة 30 مليار دولار قبل الاكتتاب العام المحتمل، حيث وصلت إلى 900 مليون مستخدم وكادت أن تحقق أرباحًا
💎 طن دولار يتفاعل مع زيادة 15٪
– إبيكوت (@epickot) 11 مارس 2024
في حين أن توسع Telegram واضح، إلا أن إحدى العقبات الرئيسية التي يجب عليها التغلب عليها قبل المغامرة في وول ستريت هي أمتعتها “الويب المظلم”. ولطالما وصف خبراء الأمن السيبراني التطبيق بأنه مرتع للمجرمين المنظمين.
ووفقا لتقرير مجلة الأمن السيبراني الأمريكية، تستخدم الجهات الفاعلة السيئة منصة الرسائل كسوق لتسهيل المعاملات غير المشروعة ونشر المحتوى المتطرف. وقد تكون السمعة السيئة التي تتمتع بها المنصة وعلاقاتها المزعومة بالكرملين ــ وقد نفى باتيل دوروف ذلك باستمرار ــ نقطة نقاش رئيسية للمستثمرين.
على الرغم من هذه العيوب، اعتمدت Telegram العملات المشفرة لعمليات شراء الإعلانات داخل التطبيق كجزء من إستراتيجية تحقيق الدخل للمستخدم.