4 月份时就有消息传出即时通讯应用 Telegram 桌面版存在高危安全漏洞,攻击者只需要向用户发送特制的媒体文件即可在无需用户交互的情况下完成感染,该漏洞依赖 Telegram 默认开启的自动下载媒体文件功能。
今天知名安全软件开发商 ESET 的研究人员披露 Telegram 另一个高危安全漏洞,该漏洞至少在 6 月 6 日就被黑客发现并利用,直到 7 月 11 日 Telegram 在 v10.14.5 版中才完成修复。
Telegram 的零日漏洞:
最初 ESET 研究人员在俄语 XSS 黑客论坛中发现名为 Ancryno 的黑客在兜售这个漏洞,ESET 研究 PoC 后确认该漏洞是真实有效的,漏洞仅适用于 Telegram for Android 版。
黑客可以创建特制的 APK 文件并将其发送给 Telegram 用户,该文件被会显示为嵌入式视频,如果 Telegram 可以自动下载媒体文件功能则会被自动下载。
当用户尝试播放该视频时 Android 系统会弹出打开按钮,点击打开时就会安装这个恶意的 APK 文件,还有个前置条件是用户必须在设置中已经开启安装未知来源的应用程序,否则系统会弹出提示告诉用户正在尝试打开 APK 文件。
漏洞至少暴露五周才被修复:
尽管 ESET 的研究人员在 6 月 26 日就向 Telegram 披露了该漏洞,不过漏洞的修复时间还是非常长,7 月 4 日 Telegram 给 ESET 回复称正在调查,到 7 月 11 日发布新版本完成修复。
从黑客发帖的 6 月 6 日开始到 7 月 11 日,超过一个月的时间该漏洞都可以被利用,Telegram 并未透露是否有黑客积极利用此漏洞展开攻击。
该漏洞本质上与 Telegram 桌面版出现的漏洞类似,都是利用 Telegram API 的一些缺陷将特制文件伪造为媒体,这样就可以在 Telegram 自动下载。
在这里还是继续建议 Telegram 用户关闭自动媒体文件自动下载功能,避免攻击者利用类似的漏洞发起针对性的攻击。
