Инженер Google Дэн Рева обнаружил в версии мессенджера Telegram для macOS опасную уязвимость, которая активирует камеру и микрофон без ведома владельца устройства.
Уязвимость позволяет злоумышленнику внедрить в Telegram для macOS динамическую библиотеку (Dylib) с вредоносом внутри. Это позволит хакеру записывать видео с камеры и сохранять запись в скрытую папку. Причина такой эксплуатации кроется в том, что мессенджер не использует встроенные механизмы безопасности от Apple, которые называются Hardened Runtime и Entitlements.
Отмечается, что частично вина за наличие этой уязвимости лежит и на Apple, так как компания не требует обязательного наличия Hardened Runtime в приложениях для macOS, зато он является обязательным для программ на iOS. Рева сообщил о существующей проблеме администрации Telegram еще в феврале 2023 года, но до сих пор не получил ответа.