«Уязвимость» в Telegram, затяжной инцидент в Toyota и другие события кибербезопасности

Мы собрали наиболее важные новости из мира кибербезопасности за неделю.

Инженер Google нашел в Telegram уязвимость. Дуров это опроверг.США обвинили россиянина в создании программ-вымогателей с ущербом в $200 млн.Discord уведомил пользователей об утечке данных.Toyota 10 лет раскрывала данные о местонахождении более 2 млн автомобилей.

Инженер Google нашел в Telegram уязвимость. Дуров это опроверг

Эксплойт в клиенте Telegram для macOS потенциально позволяет злоумышленнику получить доступ к камере и микрофону компьютера. На это обратил внимание инженер Google Дэн Рева, однако в компании опровергли наличие проблемы.

? A new vulnerability found in Telegram that can grant access to your camera and microphone.Found by an engineer at Google, reported to Telegram and they haven't addressed it.So now we get a detailed public disclosure!How this works and what it means for your privacy ?— Matt Johansen (@mattjay) May 15, 2023 Найденная еще в феврале уязвимость заключается в том, что мессенджер должным образом не задействует механизмы безопасности Apple — Hardened Runtime и Entitlements.

Первый защищает от манипуляций с памятью приложений и внедрения вредоносного кода, второй — контролирует права доступа приложений к микрофону, камере и прочим функциям устройства.

Это позволяет злоумышленнику создать и внедрить стороннюю динамическую библиотеку Dylib, которая от имени Telegram и с его правами сможет записывать видео с камеры и сохранять его в файл.

Представитель Telegram, комментируя ситуацию "Коду Дурова", сообщил, что эксплойт не угрожает пользователям сам по себе. Для реализации описанного инженером сценария в системе уже должно быть установлено вредоносное ПО.

«Настоящая проблема заключается в том, что, по-видимому, возможно