تلگرام یکی از شبکه‌های اجتماعی محبوبی است که طرفداران فراوانی دارد و همواره از نظر امنیت و حفظ حریم خصوصی کاربران خود زبانزد بوده است؛ اما به نظر می‌رسد این پلتفرم بزرگ اخیراً درگیر مشکلی جدی و بزرگ شده است و کاربران باید نهایت احتیاط را به خرج دهند. بر اساس گزارش کوین تلگراف از شرکت سرتیک (Certik) که در حوزه امنیت شبکه‌های بلاکچینی فعال است، شبکه اجتماعی تلگرام با یک آسیب‌پذیری با ریسک بالا مواجه است و کاربران باید به سرعت گزینه دانلود خودکار (Auto-Download Media) این برنامه را غیرفعال کنند.

غیرفعال کردن گزینه خودکار دانلود مدیا در تلگرام

بر اساس گزارش تازه‌ای که توسط شرکت امنیتی سرتیک منتشر شده است، یک آسیب‌پذیری بزرگ در پیام‌رسان تلگرام، کاربران را در معرض حملات مخرب هکرها قرار می‌دهد. CertiK Alert در ۹ام آوریل (۲۱ فروردین ۱۴۰۳) در شبکه اجتماعی X به کاربران در خصوص یک حفره امنیتی خطرناک در تلگرام هشدار داد. این ایراد به طور بالقوه به هکرها اجازه می‌دهد تا از طریق بخش مدیای تلگرام یک کد از راه دور (RCE) را اجرا کنند.

طبق این پست، تیم سرتیک توانسته است یک حمله احتمالی RCE را در بخش مدیا (Media) تلگرام کشف کند. این شرکت امنیتی یادآور شده است که مشکل مورد بحث از طریق فایل‌های مدیا یا چند رسانه‌‌ای خاص مانند تصاویر یا ویدیوها می‌تواند کاربران را در معرض حملات مخرب قرار دهد. کاربران برای جلوگیری از نفوذ هکرها باید تنظیمات تلگرام خود را بررسی و ویژگی دانلود خودکار را غیرفعال کنند. خوشبختانه این باگ و مشکل تنها در نسخه دسکتاپ (ویندوز و مک او اس) تلگرام مشاهده شده است و کاربران اندروید و آی او اس نگران نباشند.

رسانه کوین تلگراف برای دریافت اطلاعات بیشتر در خصوص این آسیب‌پذیری با تیم تلگرام و سرتیک تماس گرفته است، اما موفق به دریافت پاسخ و اظهار نظری در این خصوص نشده است. آسیب‌پذیری یادشده اولین مورد در خصوص مشکلات امنیتی تلگرام نیست. در سال ۲۰۲۳، مهندس گوگل دن روا (Dan Reva)، باگ مهمی را پیدا کرد که به مهاجمان اجازه می‌داد دوربین و میکروفون را در لپ‌تاپ‌هایی با سیستم عامل macOS فعال کنند. حدود ۲ سال قبل‌تر نیز یک محقق امنیتی از مجموعه شیلدر (Shielder) یک مشکل مشابه و مرتبط با بخش مدیا تلگرام را کشف کرده بود که به مهاجمان اجازه می‌داد از طریق استیکرهای متحرک فایل‌های مخربی را ارسال کنند و بدین وسیله اطلاعات کاربران را به‌دست آورند.

علی‌رغم برخی مشکلات مطرح‌شده تلگرام به طور فعال آسیب‌پذیری‌های احتمالی در این پیام‌رسان را برطرف می‌کند. در عین حال این شرکت با راه‌اندازی برنامه‌ای تحت عنوان Bug Bounty از سال ۲۰۱۴ از توسعه‌دهندگان و جامعه تحقیقاتی در حوزه امنیتی خواسته است تا با گزارش در خصوص ایرادات و مشکلات امنیتی جوایزی از ۱۰۰ دلار تا ۱۰۰ هزار دلار را بسته به خاص و حاد بودن مشکل از جانب تیم تلگرام دریافت کنند.

به‌رغم هشدار سرتیک، یکی از سخن‌گویان تلگرام در گفتگو با کوین تلگراف اعلام کرد که این شرکت نمی‌تواند وجود این آسیب‌پذیری را تایید کند و این مسئله را بیشتر به یک شوخی فریب‌آمیز یا حقه تشبیه کرده است. بر همین اساس تلگرام عنوان کرده است که دانلود خودکار هیچ خطری ندارد و تهدیدی برای امنیت کاربران به شمار نمی‌رود.