ブロックチェーンセキュリティ企業CertiKが4月9日に発表した報告書によると、テレグラムに重大な脆弱性が存在し、ユーザーが悪意のある攻撃にさらされる可能性があるという。
CertiK Alertは4月9日、ハッカーがテレグラムのメディア処理を通じてリモートコード実行(RCE)攻撃を展開する可能性がある「実在の高リスク脆弱性」と警告した。
CertiKのチームは、テレグラムデスクトップアプリケーションのメディア処理において「潜在的なRCE」攻撃を発見したと報告書で述べている。
「この問題は、画像や動画などの特別に作成されたメディアファイルを通じて、ユーザーを悪意のある攻撃にさらす」
CertiKの広報担当者はコインテレグラフに対し、この脆弱性はデスクトップ版テレグラムアプリケーションにのみ存在し、モバイル版は「デスクトップ版のように署名が必要な実行プログラムを直接実行しない」ため影響を受けないと述べた。同担当者は、この問題に関する情報はセキュリティコミュニティから得られたと指摘している。
この脆弱性を回避するには、ユーザーはテレグラムデスクトップの設定を確認し、自動ダウンロード機能を無効にする必要がある。「Settings(設定)」から「Data and Storage(データとストレージ)」内の自動ダウンロード機能をタップすることで無効にできる。
CertiKは、「自動メディアダウンロード」セクションで、「プライベートチャット」、「グループ」、「チャンネル」のすべてのチャットタイプについて、「写真」、「動画」、「ファイル」の自動ダウンロードを無効にすることを推奨している。
一方でテレグラムの広報担当者はコインテレグラフに対し、「テレグラムクライアントにそのような脆弱性が存在することを確認できない」と述べた。
仮想通貨愛好家でグレーハットSEOのYannick Eckl氏によると、テレグラムにおける自動ダウンロード機能とRCE攻撃の問題は新しいものではないという。「これは多くのITセキュリティ関係者に知られている問題だが、すべての人に知られているわけではない」とEckl氏はコインテレグラフに語った。
テレグラムは、「Wallet」と呼ばれるカストディアルウォレットソリューションを使用してビットコインやトンコイン(TON)などの仮想通貨をやり取りできる、仮想通貨対応メッセンジャーだ。
「カストディアル」とは、Walletがデフォルトでユーザーに秘密鍵を与えず、資産を自社の管理下に置くことで、業界の新規参入者が自己管理の責任を回避できるようにすることを意味する。
テレグラムで新たに発見された脆弱性は、これが初めてではない。2023年には、GoogleのエンジニアであるDan Reva氏が、macOS搭載のラップトップのカメラとマイクをハッカーが起動できる重大な脆弱性を発見した。
2021年には、セキュリティ研究者のShielder氏が、テレグラムで同様のメディア関連の問題を発見した。この問題により、ハッカーは改ざんされたアニメーションステッカーを送信することができ、被害者のデータが漏洩する可能性があった。
しかし、テレグラムはアプリにおける潜在的な脆弱性に対して積極的に対応してきた。テレグラムのバグバウンティプログラムは2014年から実施されており、開発者やセキュリティ研究コミュニティは、問題の深刻度に応じて100ドルから10万ドル以上の報奨金を獲得できる報告書を提出することができる。