تلگرام یکی از شبکههای اجتماعی محبوبی است که طرفداران فراوانی دارد و همواره از نظر امنیت و حفظ حریم خصوصی کاربران خود زبانزد بوده است؛ اما به نظر میرسد این پلتفرم بزرگ اخیراً درگیر مشکلی جدی و بزرگ شده است و کاربران باید نهایت احتیاط را به خرج دهند. بر اساس گزارش کوین تلگراف از شرکت سرتیک (Certik) که در حوزه امنیت شبکههای بلاکچینی فعال است، شبکه اجتماعی تلگرام با یک آسیبپذیری با ریسک بالا مواجه است و کاربران باید به سرعت گزینه دانلود خودکار (Auto-Download Media) این برنامه را غیرفعال کنند.
بر اساس گزارش تازهای که توسط شرکت امنیتی سرتیک منتشر شده است، یک آسیبپذیری بزرگ در پیامرسان تلگرام، کاربران را در معرض حملات مخرب هکرها قرار میدهد. CertiK Alert در ۹ام آوریل (۲۱ فروردین ۱۴۰۳) در شبکه اجتماعی X به کاربران در خصوص یک حفره امنیتی خطرناک در تلگرام هشدار داد. این ایراد به طور بالقوه به هکرها اجازه میدهد تا از طریق بخش مدیای تلگرام یک کد از راه دور (RCE) را اجرا کنند.
طبق این پست، تیم سرتیک توانسته است یک حمله احتمالی RCE را در بخش مدیا (Media) تلگرام کشف کند. این شرکت امنیتی یادآور شده است که مشکل مورد بحث از طریق فایلهای مدیا یا چند رسانهای خاص مانند تصاویر یا ویدیوها میتواند کاربران را در معرض حملات مخرب قرار دهد. کاربران برای جلوگیری از نفوذ هکرها باید تنظیمات تلگرام خود را بررسی و ویژگی دانلود خودکار را غیرفعال کنند. خوشبختانه این باگ و مشکل تنها در نسخه دسکتاپ (ویندوز و مک او اس) تلگرام مشاهده شده است و کاربران اندروید و آی او اس نگران نباشند.
رسانه کوین تلگراف برای دریافت اطلاعات بیشتر در خصوص این آسیبپذیری با تیم تلگرام و سرتیک تماس گرفته است، اما موفق به دریافت پاسخ و اظهار نظری در این خصوص نشده است. آسیبپذیری یادشده اولین مورد در خصوص مشکلات امنیتی تلگرام نیست. در سال ۲۰۲۳، مهندس گوگل دن روا (Dan Reva)، باگ مهمی را پیدا کرد که به مهاجمان اجازه میداد دوربین و میکروفون را در لپتاپهایی با سیستم عامل macOS فعال کنند. حدود ۲ سال قبلتر نیز یک محقق امنیتی از مجموعه شیلدر (Shielder) یک مشکل مشابه و مرتبط با بخش مدیا تلگرام را کشف کرده بود که به مهاجمان اجازه میداد از طریق استیکرهای متحرک فایلهای مخربی را ارسال کنند و بدین وسیله اطلاعات کاربران را بهدست آورند.
علیرغم برخی مشکلات مطرحشده تلگرام به طور فعال آسیبپذیریهای احتمالی در این پیامرسان را برطرف میکند. در عین حال این شرکت با راهاندازی برنامهای تحت عنوان Bug Bounty از سال ۲۰۱۴ از توسعهدهندگان و جامعه تحقیقاتی در حوزه امنیتی خواسته است تا با گزارش در خصوص ایرادات و مشکلات امنیتی جوایزی از ۱۰۰ دلار تا ۱۰۰ هزار دلار را بسته به خاص و حاد بودن مشکل از جانب تیم تلگرام دریافت کنند.
بهرغم هشدار سرتیک، یکی از سخنگویان تلگرام در گفتگو با کوین تلگراف اعلام کرد که این شرکت نمیتواند وجود این آسیبپذیری را تایید کند و این مسئله را بیشتر به یک شوخی فریبآمیز یا حقه تشبیه کرده است. بر همین اساس تلگرام عنوان کرده است که دانلود خودکار هیچ خطری ندارد و تهدیدی برای امنیت کاربران به شمار نمیرود.