Telegram опровергает заявление CertiK об угрозе безопасности автоматической загрузки

[Alex077]

Стартап CertiK, занимающийся безопасностью блокчейна, заявил, что десктопное приложение Telegram представляет риски при использовании из-за функции автоматической загрузки мультимедиа, но руководство компании оспорил такие утверждения.
CertiK предупредил криптосообщество о предполагаемой уязвимости высокого риска в изображениях и видео, отправленных в приложение для личных сообщений Telegram.
Пользователям посоветовали отключить настройки автоматической загрузки для предотвращения атак, но поставщик безопасности не объяснил, как он пришел к такому выводу.

Telegram ответил на претензии CertiK​

Вскоре после уведомления CertiK о X Telegram опроверг утверждение о том, что более 800 миллионов его пользователей по всему миру могут быть скомпрометированы, если у них включена автоматическая загрузка мультимедиа. Платформа добавила, что ни один участник не сообщал о случаях удаленного выполнения кода (RCE), приводящего к взлому криптокошелька или аккаунта.

Мы не можем подтвердить существование такой уязвимости. Это видео, скорее всего, является обманом. Любой может сообщить о потенциальных уязвимостях в наших приложениях.
Команда Телеграм

Эксперт дает свое мнение​

После этой новости СМИ связались с основателем Polyzoa Кириллом Тюфановым по поводу возможности вектора атаки RCE, о котором сообщил CertiK. Тиуфанов, ветеран безопасности Web3, предположил, что эта уязвимость кажется маловероятной.

Это довольно абстрактное предположение, поскольку они не дают никаких технических подробностей. В принципе каждый может сказать: не загружайте неизвестные файлы, поскольку это может быть рискованно.
Кирилл Тюфанов, основатель Polyzoa

Хотя иск остается спорным, CertiK посоветовала пользователям отключить автоматическую загрузку мультимедиа, чтобы обеспечить максимальную безопасность в настольном приложении.
Некоторые платформы социальных сетей позволяют пользователям загружать файлы без щелчков мышью, но Telegram — один из немногих поставщиков услуг обмена сообщениями, поддерживающих функции шифрования. Дизайн приложения позволил создателям блокчейнов интегрировать такие инструменты, как BonkBot и кошельки, сохраняя при этом безопасность.
Telegram не поддерживает криптовалюты, но его можно использовать в качестве шлюза для пользователей и продавцов для отправки и получения платежей в цифровых активах.
Такие решения, как Grindery, поддерживаемая Binance Labs, используют смарт-контракты абстракции учетной записи для разблокировки транзакций одним щелчком мыши в приложении для социальных сетей. Кроме того, Telegram открыл для пользователей систему распределения доходов, поддерживаемую материнской компанией The Open Network's Toncoin , предоставляющую пользователям вознаграждения за показ рекламы на каналах.
Edited just now by Alex077