Uma nova vulnerabilidade no app do Telegram para macOS foi descoberta por Dan Revah, um engenheiro do Google.
Identificada e relatada em fevereiro passado, a falha permite que invasores ignorem o framework de Transparência, Consentimento e Controle (TCC) do sistema, concedendo acesso indevido à câmera e ao microfone da máquina, bem como a dados sensíveis dos usuários.
Após analisar a vulnerabilidade, o especialista em segurança cibernética Matt Johansen explicou que os invasores podem, por exemplo, gravar secretamente vídeos com áudio a partir da câmera do dispositivo afetado.
Os arquivos são salvos em uma pasta oculta no Mac do usuário, mesmo que as permissões necessárias para acessar a câmera e o microfone estejam desativadas. De acordo com Johansen, essa falha de segurança é possível devido à ausência da integração do Telegram com o mecanismo de segurança Hardened Runtime, da Apple.
Em resposta a Johansen, o Telegram reconheceu a existência da vulnerabilidade. No entanto, a empresa enfatizou que o acesso remoto às câmeras e aos microfones só é possível se um software malicioso com acesso root tiver sido instalado no Mac alvo.
O mensageiro observou, ainda, que o problema afeta apenas a versão do aplicativo baixada pela Mac App Store, e que uma atualização contendo a correção necessária está atualmente pendente de aprovação por parte da Apple.
Por ora, tanto Revah quanto Johansen alertaram os usuários a ficarem atentos à atualização do Telegram — que pode sair a qualquer momento.
Além disso, é preciso redobrar os cuidados, adotando medidas de segurança robustas e tendo cautela ao conceder permissões a aplicativos que acessam recursos sensíveis do dispositivo.