Telegram、CertiK の自動ダウンロードのセキュリティリスク主張に反論

by

ブロックチェーンセキュリティを専門とする企業であるCertiKは、メディアの自動ダウンロード機能によるTelegramのデスクトップアプリの安全性について懸念を表明した。しかし、テレグラムはこの評価に同意しません。

暗号通貨コミュニティは、Telegram のプライベート メッセージング機能を介した画像とビデオの共有における危険なセキュリティ問題の疑いについて CertiK から警告を受けました。

ユーザーは潜在的な脅威から保護するために自動アップデートを無効にするよう指示されていたが、セキュリティ会社はこの推奨の背後にある理由を共有できなかった。

#CertiKInsight
潜在的に危険な問題が実際に確認されました。
セキュリティを強化するために Telegram の設定を確認してください。

リモート コード実行 (RCE) が発生しているようです。 ) デスクトップ アプリケーション内の Telegram のメディア処理機能に脆弱性が発見されました。
この脆弱性により、ユーザーは次のような有害な攻撃を受けやすくなる可能性があります…

— CertiK Alert (@CertiKAlert) April 9, 2024

TelegramはCertiKの主張に反論

CertiK から X に関する警告を受けた後、Telegram は、メディアの自動ダウンロードにより 8 億人を超えるユーザーが潜在的に脆弱であるという主張には根拠がないことを明らかにしました。同社は、暗号通貨ウォレット侵害につながるリモートコード実行(RCE)の事例はユーザーから報告されていないと述べた。

このビデオで描かれている脆弱性が本物かどうかは不明です。このビデオはフェイクまたはデマである可能性があります。私たちはすべての報告を真剣に受け止めているため、アプリケーションの弱点の疑いがある場合は、お気軽に共有してください。

テレグラムチーム

専門家が意見を述べる

ニュースソースから最新の動向を知った後、crypto.news は、CertiK による RCE (Remote Code Execution) 攻撃ベクトルの発見に関して、Polyzoa の創設者である Kirill Tiufanov に連絡を取りました。 Web3 セキュリティに豊富な経験を持つ Tiufanov 氏は、この脆弱性について懐疑的な見方を示しました。

彼らは技術仕様を何も提供していないため、かなり漠然とした推測です。簡単に言うと、潜在的なリスクがあるため、見慣れないファイルをダウンロードしないように誰もがアドバイスします。

キリル ティウファノフ、Polyzoa 創設者

この主張の正当性はまだ議論中であるため、CertiK はセキュリティを強化するためにデスクトップ アプリでの自動メディア ダウンロードを無効にすることを推奨しています。

いくつかのソーシャル メディア サイトでは、ユーザーは何もクリックせずにファイルを取得できます。ただし、Telegram はメッセージング サービスの中でも仮想通貨機能を提供する点で際立っています。アプリのユーザーフレンドリーな設計により、BonkBot やデジタルウォレットなどのツールの統合が容易になると同時に、セキュリティの確保がブロックチェーン開発者にとっての優先事項であり続けます。

Telegram 自体は暗号通貨の使用を許可していませんが、ユーザーと企業がトランザクションを通じてデジタル資産を交換する手段としてプラットフォームを利用できます。

Binance Labs がサポートする Grindery は、アカウント抽象化スマート コントラクトを使用して、ソーシャル メディア プラットフォーム上でワンクリックで簡単な取引を可能にします。さらに、Telegram は、親会社である The Open Network および Toncoin と協力して、収益分配設定を通じてユーザーが自分のチャンネルに広告を表示することで収益を得ることができるシステムを確立しました。

2024-04-09 20:58