Истражувачите на ESET открија ранливост на Telegram за Android што им овозможува на напаѓачите да испраќаат малициозен софтвер маскиран како видеа.
Истражувачите на ESET на рускиот хакерски форум XSS.IS забележаа нулта дневна експлоатација за Telegram за Android, наречена „EvilVideo“, која им овозможува на хакерите да шират малициозен софтвер маскиран како видеа преку канали на Telegram, групи и разговори.
ESET ја тестираше експлоатацијата на Telegram Web и Telegram Desktop за Windows и откри дека не работи на овие платформи. Двата клиенти прикажуваа пораки за грешка и го третираа малициозниот софтвер како мултимедијална датотека, спречувајќи ја експлоатацијата да работи.
Хакер по име Анкрино започна со продажба на нулти ден на Telegram на 6 јуни 2024 година, наведувајќи во објава на форумот XSS дека грешката била во Telegram v10.14.4 и порано.
Истражувачите на ESET го открија EvilVideo откако PoC беше споделен на јавен канал на Telegram. Откако ESET потврди дека EvilVideo работи во Telegram v10.14.4 и постари верзии, истражувачот на ESET Лукас Стефанко ја пријавил грешката во Telegram на 26 јуни и повторно на 4 јули 2024 година, бидејќи не добил одговор на првиот контакт.
Телеграм потврди дека го истражува проблемот и објави лепенка на 11 јули 2024 година со верзија 10.14.5. Закрпата осигурува дека споделените датотеки се правилно идентификувани како апликации, а не како видеа.
Но, ова значи дека сајбер-криминалците имаа најмалку пет недели да го искористат пропустот пред да биде закрпен, испраќајќи специјално изработени APK-датотеки до други корисници на Telegram.
ESET вели дека EvilVideo го користи Telegram API за да создаде порака што се чини дека прикажува видео од 30 секунди. Стандардно, апликацијата Telegram на Android автоматски презема медиумски датотеки, така што учесниците на каналот ја примаат содржината на нивниот уред кога отвораат разговор. За корисниците кои имаат оневозможено автоматско преземање, доволно е едно допирање на прегледот на видеото за да започне преземањето на датотеката.
Кога корисниците се обидуваат да репродуцираат лажно видео, Telegram предлага користење на надворешен плеер, што може да доведе до допирање на копчето „Отвори“ од примателите, но потоа е потребен дополнителен чекор - жртвата треба да овозможи инсталирање на непознати апликации во поставките на уредот, дозволувајќи им на злонамерната АПК да работи, ја инсталира датотеката на уредот.
Затоа, корисниците на Telegram на Android треба да ја ажурираат својата апликација до најновата верзија за да се заштитат од EvilVide и слични закани.
