Telegram新型0Day漏洞曝光,将BUG藏在视频传播

admin 2024年7月29日21:25:37评论18 views字数 1665阅读5分33秒阅读模式
  • ESET Research在一个地下论坛上发现了一个针对Android Telegram的零日漏洞广告。
  • ESET将该漏洞命名为「EvilVideo」,并将其报告给Telegram,Telegram于7月11日更新了该应用程序。
  • EvilVideo允许攻击者发送恶意的有效载荷,这些载荷以视频文件的形式出现在Android的旧Telegram应用程序中。
  • 该漏洞仅影响Android Telegram 10.14.4及更早版本。
Telegram新型0Day漏洞曝光,将BUG藏在视频传播
近日, ESET研究人员发现了一个针对Android Telegram的零日漏洞,该漏洞名为「EvilVideo」,从今年6月开始在一个地下论坛出售,价格不详。利用该漏洞,攻击者可以通过Telegram频道、群组和聊天共享恶意的Android有效载荷,并使其看起来像是多媒体文件。
「我们在一个地下论坛上发现了出售该漏洞的广告。在帖子中,卖家展示了在公共Telegram频道中测试该漏洞的截图和视频。我们识别出了有问题的频道,漏洞仍然可用,因此我们可以获得有效载荷并自己进行测试,」ESET研究员Lukáš Štefanko解释说。
Telegram新型0Day漏洞曝光,将BUG藏在视频传播
发布在地下论坛的帖子
ESET Research对该漏洞的分析显示,它影响Telegram 10.14.4及更早版本。原因可能是特定的有效载荷是使用Telegram API制作的,因为它允许开发人员以编程方式将特制的多媒体文件上传到Telegram聊天或频道。该漏洞似乎依赖于攻击者能够创建一个有效载荷,将Android应用显示为多媒体预览,而不是二进制附件。一旦在聊天中分享,恶意有效载荷看起来就像是一个30秒的视频。
Telegram新型0Day漏洞曝光,将BUG藏在视频传播
漏洞利用的例子
默认情况下,通过Telegram接收的媒体文件设置为自动下载。这意味着启用此选项的用户一旦打开共享的对话,就会自动下载恶意负载。虽然默认的自动下载选项可以手动禁用,但在这种情况下,仍然可以通过点击共享视频的下载按钮下载有效载荷。
如果用户试图播放「视频」,会触发真正的Telegram弹出错误信息:「应用程序无法播放此视频,是否尝试使用外部播放器?」这是在合法的Android Telegram应用程序源代码中发现的原始Telegram警告,而不是由恶意负载设计和推送的。
Telegram新型0Day漏洞曝光,将BUG藏在视频传播
警告无法播放「视频」
用户可以选择取消或尝试打开文件。但如果用户选择「打开」,他们还需要允许Telegram安装Android应用程序包(APK)。在安装之前,Telegram会要求用户启用未知应用程序的安装。因此,用户需要执行一系列操作才能激活恶意载荷,但伪装的文件和Telegram的错误分类仍然引起了明显的安全担忧。
Telegram新型0Day漏洞曝光,将BUG藏在视频传播
Telegram要求用户允许安装未知的应用程序
在2024年6月26日发现EvilVideo漏洞后,ESET按照协调的披露政策向Telegram报告了该漏洞,但当时没有收到任何回应。7月4日,ESET再次报告了这个漏洞,当天,Telegram联系了ESET,确认其团队正在调查EvilVideo。随后,Telegam修复了这个问题,于7月11日发布了10.14.5版本。该漏洞影响到10.14.4之前的所有版本的Android Telegram,已在10.14.5版本中更新。
参考资料:
https://www.eset.com/uk/about/newsroom/press-releases/set-research-discovers-evilvideo-telegram-app-for-android-targeted-by-zero-day-exploit-sending-malicious-videos/
https://www.welivesecurity.com/en/eset-research/cursed-tapes-exploiting-evilvideo-vulnerability-telegram-android/
原文来源:FreeBuf

原文始发于微信公众号(关键基础设施安全应急响应中心):Telegram新型0Day漏洞曝光,将BUG藏在视频传播

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月29日21:25:37
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Telegram新型0Day漏洞曝光,将BUG藏在视频传播https://cn-sec.com/archives/3011387.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息