该漏洞最初被发现于2024年6月6日,当时ESET研究人员在一个地下论坛上看到了一则关于该漏洞的广告。化名“Ancryno”的卖家以未公开的价格出售该零日漏洞,声称其适用于Telegram版本10.14.4及更早版本。于是ESET追踪到相关频道,获取恶意负载并进行详细分析。
分析结果显示,“EvilVideo”漏洞仅在 Telegram 的 Android 版本中有效,允许攻击者创建特制的 APK 文件,而这些文件在发送给其他用户时会显示为视频格式。在默认设置下,Telegram 应用会自动下载媒体文件,因此频道参与者一打开对话就会在设备上接收到恶意负载。对于已禁用自动下载的用户,单击视频预览也会启动文件下载。而当用户尝试播放假视频时,Telegram 会弹出使用外部播放器提示窗口,这可能导致接收者点击“打开”按钮并执行恶意负载。
ESET向Telegram报告这一问题后,Telegram于2024年7月11日发布的 v10.14.5 版本中修复了此漏洞。这意味着攻击者已至少有五周时间可以利用该0day。
Telegram用户如果最近有收到请求使用外部应用播放的视频文件,保险起见最好进行一次杀毒扫描。Telegram视频文件通常会存储在 '/storage/emulated/0/Telegram/Telegram Video/'(内部存储)或 '/storage/<SD Card ID>/Telegram/Telegram Video/'(外部存储)之中。
资讯来源:welivesecurity
转载请注明出处和本文链接
﹀
球分享
球点赞
球在看
原文始发于微信公众号(看雪学苑):Telegram安卓应用曝出0day漏洞,允许恶意文件伪装成视频进行传播
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论