Telegram修复了允许黑客通过聊天发送危险文件的漏洞

Telegram最近修补了其Android应用程序中的一个严重漏洞，该漏洞允许黑客利用该平台发送伪装成视频文件的危险文件。该零日漏洞于2024年6月6日出现在一个地下论坛上出售，ESET的研究人员将其命名为“EvilVideo”。该漏洞利用了一个漏洞，使攻击者可以通过Telegram频道、群组和聊天共享恶意负载，使它们看起来像无害的多媒体文件。

ESET团队发现了该漏洞并对其进行了分析，然后于6月26日将其报告给Telegram。随后，Telegram于7月11日发布了更新，修复了Telegram10.14.5及更高版本中的漏洞。此更新现已修复该问题并保护用户免受威胁。

EvilVideo漏洞针对的是Telegram10.14.4及更早版本。该漏洞的工作原理是创建一个恶意负载，该负载在聊天中显示为30秒的视频文件。当用户尝试播放此文件时，Telegram会提示他们安装外部播放器，而这实际上是一个伪装的恶意应用程序。如果用户将媒体文件设置为自动下载，则负载会自动下载，或者他们可以通过点击下载按钮手动下载。

有趣的是，该漏洞在Telegram的Web或桌面客户端上不起作用。Web客户端将文件视为MP4，而桌面客户端将额外的.mp4扩展名附加到APK文件，从而阻止漏洞执行。

该漏洞背后的威胁者身份尚未确定，但研究人员还发现他们在同一地下论坛上提供其他恶意服务。尽管如此，Telegram对该漏洞的快速响应凸显了其对用户安全的承诺。

EvilVideo漏洞现已修复，确保Android版Telegram用户不再受到此特定漏洞的威胁。这提醒我们，保持应用程序更新以防范潜在威胁的重要性。