Telegram曝零日漏洞,允许发送伪装成视频的恶意APK
💡
原文中文,约1800字,阅读约需5分钟。
📝
内容提要
ESET Research发现了一个名为“EvilVideo”的针对Android Telegram的零日漏洞广告。该漏洞影响Android Telegram 10.14.4及更早版本,允许攻击者发送恶意有效载荷。ESET已向Telegram报告该漏洞,并在7月11日更新了应用程序。漏洞利用需要用户执行一系列操作,但仍引起安全担忧。
🎯
关键要点
- ESET Research发现了一个名为“EvilVideo”的针对Android Telegram的零日漏洞广告。
- 该漏洞影响Android Telegram 10.14.4及更早版本,允许攻击者发送恶意有效载荷。
- ESET已向Telegram报告该漏洞,Telegram于7月11日更新了应用程序。
- EvilVideo漏洞允许攻击者通过Telegram频道、群组和聊天共享恶意的Android有效载荷,伪装成多媒体文件。
- 该漏洞利用需要用户执行一系列操作,但仍引起安全担忧。
- ESET研究人员在地下论坛发现了该漏洞的广告,并进行了测试。
- 漏洞利用的例子显示,默认情况下通过Telegram接收的媒体文件会自动下载。
- 用户在尝试播放“视频”时会收到错误信息,提示无法播放该视频。
- 用户需要允许Telegram安装未知应用程序包(APK)才能激活恶意载荷。
- ESET在2024年6月26日发现该漏洞后,按照协调的披露政策向Telegram报告,但未收到回应。
- Telegram在确认漏洞后,于7月11日发布了修复版本10.14.5。
➡️
