区块链安全公司CertiK声称，它揭露了Telegram信使的重大漏洞，可能会让用户面临恶意攻击，但Telegram本身却称这种威胁是骗局。

CertiK警报在4月9日在社交媒体平台X上警示公众警惕一个“野外高风险漏洞”，可能允许黑客通过Telegram的媒体处理实施远程代码执行（RCE）攻击。

根据帖子，CertiK团队在Telegram桌面应用程序的媒体处理中发现了“可能RCE”攻击。

“这个问题会让用户通过特别定制的媒体文件，如图片或视频，面临恶意攻击，”CertiK写道。

CertiK的一位发言人告诉Cointelegraph，这个漏洞仅限于桌面Telegram应用程序，因为移动端“不像桌面那样直接执行可执行程序，通常需要签名。”这位代表指出，这个问题的新闻来自安全社区。

为了避免这个漏洞，CertiK表示，用户应该检查自己的Telegram桌面配置，并禁用自动下载功能。通过前往“设置”然后点击“高级”来禁用此功能。

“在‘自动媒体下载’部分，禁用所有聊天类型（私密聊天、群组和频道）的‘照片’、‘视频’和‘文件’的自动下载，”CertiK指出。

尽管CertiK发出警告，但Telegram的一位发言人告诉Cointelegraph，公司“无法确认Telegram客户端存在此类漏洞”，并在4月9日将这种威胁标记为可能是骗局。

Telegram是一个主要的加密货币友好的信使，允许用户通过其名为“钱包”的托管钱包解决方案进行沟通、交换文件和交易比特币（BTC）和Toncoin（TON）等加密货币。

“托管”部分的意思是钱包默认不向用户提供私钥。相反，它将资产置于自己的监管之下，以帮助行业新手避免自托管责任。

尽管Telegram本身声称自动下载媒体文件没有危险，但加密货币爱好者、灰色帽子SEO Yannick Eckl告诉Cointelegraph，这个问题并非新出现。“它在许多，但显然不是所有IT安全圈子中都是已知的。”

相关：Telegram频道有资格获得50%的广告收入，但有个前提条件

2023年，谷歌工程师Dan Reva发现了一个重大漏洞，可能允许攻击者激活搭载macOS的笔记本电脑上的摄像头和麦克风。

2021年，Shielder的一名安全研究人员在Telegram上发现了类似的媒体相关漏洞，据报道，攻击者可以通过发送修改后的动态贴纸来暴露受害者的数据。

尽管如此，Telegram一直在积极解决其应用程序上的潜在漏洞。Telegram的赏金计划自2014年以来一直活跃，为开发者和安全研究社区提供了提交报告的机会，并根据问题的严重程度，有机会获得从100美元到10万美元甚至更高的赏金。

杂志：1/6的新Base meme coins是骗局，91%存在漏洞