Se reportó una vulnerabilidad en la aplicación de mensajería Telegram para MacOS, se registró como CVE-2023-26818, que contiene una puntuación CVSS reservada, se trata de una falla que podría permitir que un atacante obtenga acceso a la cámara web y al micrófono de una computadora.
Surgió debido a la capacidad de integrar una biblioteca dinámica de terceros (Dylib), haciendo que pase por alto las protecciones Hardened Runtime, que protege contra código malicioso y Entitlement la cual controla el acceso al micrófono, la cámara y otros componentes de la computadora. En MacOS no existe un requisito estricto para admitir Hardened Runtime en las aplicaciones, mientras que en iOS sí lo hay.
Productos afectados:
- Telegram App versión 9.3.1 para MacOS.
- Telegram App versión 9.4.0 para MacOS.
Soluciones:
- Actualizar Telegram la versión 9.4.1 o superior.
Recomendaciones:
- Mantener aplicación actualizada.
Referencias:
- https://mezha.media/en/2023/05/17/a-dangerous-vulnerability-in-telegram-remotely-activates-the-camera-and-microphone-on-macos/
- https://technewsspace.com/a-vulnerability-was-found-in-the-telegram-app-for-macos-that-allows-access-to-the-camera-and-microphone/
- https://meduza.io/en/news/2023/05/16/vulnerability-in-telegram-for-macos-lets-malware-access-user-mic-and-camera
- https://danrevah.github.io/2023/05/15/CVE-2023-26818-Bypass-TCC-with-Telegram/