[FALSO ALERTA] Vulnerabilidade no Telegram

[sabotag3x]

Vulnerabilidade no Telegram (desktop) permitindo a "Execução Remota de Código" através de imagens/vídeos. Fonte: https://twitter.com/CertiKAlert/status/1777632812700713254

Recomendação: desativar o download automático de arquivos em Settings -> Data & storage -> desativar tudo.. também faria o mesmo na versão mobile.

[Paredao]

Ainda bem que não utilizo o telegram. Atualmente, para mim, rede social só serve para zoação. Não consigo utilizar seriamente uma rede social. A coisa ficou muito chata. Legal mesmo é para a zoação. E pior que tem gente que leva a sério a rede social. Ainda bem que nasci antes do surgimento desse negócio.

[Forsyth Jones]

Rapaz, desabilitei o download automático já faz alguns dias, antes de sair a notícia. Já no Desktop dificilmente abro o telegram.

Estamos passando por tempos difíceis, hein? Vulnerabilidades no mac, no linux, não sei das quantas... a bruxa tá a solta. 

[alegotardo]

Vulnerabilidade no Telegram (desktop) permitindo a "Execução Remota de Código" através de imagens/vídeos. Fonte: https://twitter.com/CertiKAlert/status/1777632812700713254

Recomendação: desativar o download automático de arquivos em Settings -> Data & storage -> desativar tudo.. também faria o mesmo na versão mobile.

Já faço isso na versão mobile, pois participo de um grupo em que enviam muitas fotos e vídeos, e isso entope o meu armazenamento de porcarias

Falando sério... não é de hoje que hackers de aproveitam de metadados escondidos em arquivos com extensões de imagens que são executados automaticamente pelo windows quando visualizadas. Pra mim isso está mais para uma vulnerabilidade do sistema operacional do que do próprio Telegram.

De toda forma, além da dica de desabilitar o download automático de conteúdo também é importante cuidar muito dos grupos em que se entra.... avalair se ele realmente é necessário e assim manter o mínimo necessário apenas para manter-se informado e ter uma comunicação com pessoas que você realmente precisa.

Tem também outras ferramentas de privacidade que impedem que qualquer pessoa te encontre por uma mensagem encaminhada ou então entre em contato contigo sem permissão.

[TryNinja]

Pessoal do Telegram diz ser um hoax (mentira):

https://twitter.com/telegram/status/1777677055837995151

We can't confirm that such a vulnerability exists. This video is likely a hoax.

Anyone can report potential vulnerabilities in our apps and get rewards: https://core.telegram.org/bug-bounty

De qualquer forma, melhor desativar esses auto-downloads mesmo.

[sabotag3x]

Pessoal do Telegram diz ser um hoax (mentira)

Certik deletou o tweet, então devia ser uma mentira mesmo.

Eu já havia desativado essas opções no mobile há muito tempo, mas percebi que estavam ativadas na versão desktop

[RickDeckard]

Certik deletou o tweet, então devia ser uma mentira mesmo.

Da minha perspectiva é preciso ter-se 100 % certeza que este tipo de bugs existe de facto antes de lançar a notícia para uma base de seguidores. O efeito que tem na comunidade acaba sempre por ser maior tendo em conta as redes e a facilidade com que se espalha uma notícia neste momento. Neste caso em particular creio que o que sai danificado é a reputação do Certik.

@sabotag3x: O que achas em alterar o título do tópico para algo do género "[Falso] Vulnerabilidade no Telegram"? Só para dar uma ideia aos leitores que circulem na aba que não existe uma vulnerabilidade no Telegram (pelo menos conhecida e verificável).

[sabotag3x]

@sabotag3x: O que achas em alterar o título do tópico para algo do género "[Falso] Vulnerabilidade no Telegram"? Só para dar uma ideia aos leitores que circulem na aba que não existe uma vulnerabilidade no Telegram (pelo menos conhecida e verificável).

Adicionei, obrigado pela sugestão!

[Disruptivas]

Cliquei no link e não tinha funcionado, passei uns minutos procurando a notícia no perfil da Certik até ver que vocês haviam postado aqui sobre o telegram dizendo ser mentira. Mas achei ótimo, mesmo sendo mentira porque já desabilitei essa função, também estava ativada na minha versão do desktop. Bom quando ''mentira'' tem como efeito uma precaução em todo mundo pelo menos.