Cercetătorii ESET au identificat recent un exploit zero-day, vizând aplicația Telegram pentru Android, care a fost pus în vânzare pe un forum subteran la un preț nespecificat. Exploit-ul, denumit „EvilVideo”, abuzează de o vulnerabilitate a aplicației Telegram, permițând atacatorilor să partajeze fișiere Android rău intenționate prin canalele, grupurile și chaturile Telegram, făcându-le să pară fișiere multimedia legitime.
„Am descoperit exploit-ul fiind promovat spre vânzare pe un forum subteran. În postare, vânzătorul prezenta capturi de ecran și un videoclip demonstrativ al exploit-ului pe un canal public Telegram. Am reușit să identificăm canalul în cauză, cu exploit-ul încă disponibil. Aceasta ne-a permis să punem mâna pe sarcina utilă și să o testăm noi înșine”, a declarat Lukáš Štefanko, cercetătorul ESET care a descoperit exploit-ul Telegram.
Analiza detaliată a ESET Research a arătat că exploit-ul funcționează pe versiunile Telegram 10.14.4 și mai vechi. Motivul principal pare să fie că sarcina utilă specifică este creată folosind API-ul Telegram, care permite dezvoltatorilor să încarce fișiere multimedia special create în chat-urile sau canalele Telegram în mod programatic. Exploit-ul se bazează pe abilitatea actorului de amenințare de a crea o sarcină utilă care apare ca un videoclip de 30 de secunde în loc de un atașament binar.
Prin setările implicite, fișierele media primite prin Telegram pentru Android sunt setate să se descarce automat. Acest lucru înseamnă că utilizatorii cu această opțiune activată vor descărca automat încărcătura utilă rău intenționată odată ce deschid conversația în care a fost partajată. Opțiunea de descărcare automată poate fi dezactivată manual, însă chiar și atunci, utilizatorii pot descărca fișierul atingând butonul de descărcare al videoclipului partajat.
Problema MAJORA a Telegram pentru Android, care Expune Milioane de Oameni
Dacă utilizatorul încearcă să redea „videoclipul”, Telegram pentru Android afișează un mesaj că nu poate reda videoclipul și sugerează utilizarea unui player extern. Dacă utilizatorul atinge butonul Deschidere, i se va solicita să instaleze o aplicație rău intenționată, deghizată ca aplicația externă menționată.
Descoperirea vulnerabilității EvilVideo pe 26 iunie 2024 a determinat ESET să urmeze politica de divulgare coordonată, raportând imediat problema către Telegram. Inițial, nu au primit niciun răspuns. Pe 4 iulie, ESET a raportat din nou vulnerabilitatea, iar Telegram a răspuns în aceeași zi, confirmând că echipa sa investighează EvilVideo. Problema a fost remediată pe 11 iulie odată cu lansarea versiunii 10.14.5 a aplicației Telegram pentru Android.
Această vulnerabilitate a afectat toate versiunile Telegram pentru Android până la 10.14.4, însă actualizarea la versiunea 10.14.5 a rezolvat problema. Utilizatorii sunt încurajați să actualizeze imediat aplicația Telegram pentru a se proteja împotriva acestui exploit periculos.
În concluzie, este esențial ca utilizatorii de Android să fie vigilenți și să își mențină aplicațiile actualizate pentru a preveni exploatarea vulnerabilităților similare. Telegram rămâne o aplicație esențială pentru comunicare, dar securitatea trebuie să fie o prioritate pentru toți utilizatorii săi.
