4月9日，CertiK安全团队发现了一个可能允许黑客进行远程代码执行（RCE）的Telegram桌面客户端的漏洞，该漏洞具体涉及Telegram的一个常用功能“自动下载媒体”。该功能本来旨在用户浏览聊天时自动下载媒体文件，以提高用户体验；然而，该功能存在安全缺陷，可以导致黑客通过发送带有恶意代码的图像或视频文件来远程执行代码（RCE）。

4月12日，CertiK对于该漏洞的再次确认

漏洞详述

此次发现的漏洞仅限于Windows系统中的桌面应用，这些应用可以执行文件中包含的程序；移动端的App不受此次漏洞影响。

该漏洞具体涉及Telegram的“自动下载媒体”功能，当用户浏览对话记录时，该功能会自动下载媒体文件。而黑客可以通过发送包含恶意代码的“特制图片或视频文件”，来利用这一漏洞执行远程代码。这一安全漏洞的存在使Telegram用户面临潜在的恶意攻击风险。4月12日，CertiK也针对此漏洞进行了一次远程代码执行（RCE）攻击的复现，于Telegram桌面客户端（版本号4.16.6 x64）中，再次确认了该漏洞下的安全隐患确实存在。

CertiK对远程代码执行（RCE）攻击的复现

具体的技术细节显示，这个漏洞来源于Telegram桌面客户端在处理文件扩展名时的一个重大拼写错误。Telegram客户端错误地将“Python zipapp”的扩展名从“.pyzw”误写为“.pywz”。在Windows操作系统中，“.pyzw”是一种可执行文件格式，而这种错误的扩展名不会触发任何安全警告。结果会导致，当Telegram尝试打开这类文件时，系统默认这是一种安全的文件，进而执行其中的代码，给黑客留下了可利用的空间。（https://github.com/telegramdesktop/tdesktop/pull/27737/commits/effad980f712cd1a4e8cee4fca42193fe5a612de）

Telegram Windows客户端文件扩展名上的拼写错误

安全建议

为了防范潜在的安全威胁，CertiK当时建议所有Telegram桌面客户端用户及时更新其客户端，以避免受到此类攻击的影响。同时，也应提高对于自动下载的文件的警觉性，尤其是来自不信任源的文件。

出于风险预防，CertiK还建议用户禁用自动下载功能，以防止未知的风险，具体操作如下：进入设置，点击“高级”，在“自动媒体下载”部分，禁用所有聊天类型中的“照片”、“视频”和“文件”的自动下载功能。

用户反馈

此次漏洞事件中，CertiK的及时警报和安全建议得到了许多社区用户的感谢和称赞，并通过社交媒体表达了对Certik团队的赞许和支持。

CertiK深知保障Web3.0的安全性不仅是一项技术挑战，也是一项社会责任。CertiK还将持续致力于守护Web3.0世界，促进其健康、可持续发展。

写在最后

尽管只有桌面客户端受到了这一漏洞的影响，但这一发现无疑提醒所有用户必须对潜在的安全风险保持高度警惕。在此次事件中，更新软件和慎重处理自动下载的内容是安全防护的关键。用户的警惕性以及正确的安全习惯能够大幅降低成为黑客攻击目标的风险。安全措施不应被视作一个可选项，而是每个人必须采取的必要措施。

原文始发于微信公众号（CertiK）：安全回顾 | Telegram漏洞，如何应对潜在的安全风险