成人黄色电影免费,黄色亚洲毛片,igao在线视频成人免费

Telegram零日漏洞被售賣數周：惡意APK文件可偽裝成視頻消息

責編：gltian ｜2024-07-24 15:35:02

一個名為“EvilVideo”的Telegram安卓版零日漏洞，允許攻擊者將惡意的安卓APK有效負載偽裝成視頻文件發送。

6月6日，威脅行為者“Ancryno”在XSS俄語黑客論壇上發帖，首次銷售Telegram零日漏洞利用工具，稱此漏洞存在于Telegram v10.14.4及更早版本中。

歐洲安全廠商ESET的研究人員在一個公共Telegram頻道上，分享概念驗證（PoC）演示后發現了該漏洞，藉此獲取了惡意有效負載。

圖：威脅行為者在黑客論壇上出售漏洞利用工具

ESET確認該漏洞在Telegram v10.14.4及更早版本中有效，并將其命名為“EvilVideo”。ESET研究員Lukas Stefanko于6月26日和7月4日兩次向Telegram負責任地披露了該漏洞。

Telegram于7月4日回應稱，正在調查上報的漏洞，并在7月11日發布的10.14.5版本中修補了該漏洞。

這意味著威脅行為者至少有五周的時間，可以利用該零日漏洞進行攻擊。

目前尚不清楚該漏洞是否在攻擊中被積極利用，ESET分享了惡意有效負載使用的C2服務器地址“infinityhackscharan.ddns[.]net”。

外媒BleepingComputer在VirusTotal上發現了兩個使用該C2的惡意APK文件，它們偽裝成Avast Antivirus或“xHamster Premium Mod”。

Telegram零日漏洞利用情況

EvilVideo零日漏洞僅在Telegram安卓版上有效。該漏洞允許攻擊者創建特制的APK文件。當這些文件被發送給其他Telegram用戶時，會顯示為嵌入視頻。

ESET認為，該漏洞利用了Telegram API以編程方式創建信息。信息看似一條30秒長的視頻。

圖：APK文件預覽為30秒視頻片段

在默認設置下，安卓上的Telegram應用會自動下載媒體文件。因此頻道參與者一旦打開對話就會在設備上收到有效負載。

即便已禁用自動下載，用戶只要輕觸視頻預覽就會開始下載文件。

當用戶嘗試播放假視頻時，Telegram會建議使用外部播放器。在這種情況下，接收者可能會點擊“打開”按鈕并執行有效負載。

圖：啟動外部視頻播放器的提示

接下來還需要額外一步：受害者必須在設備設置中啟用安裝未知應用程序，允許惡意APK文件在設備上安裝。

圖：需要批準APK安裝的步驟

盡管威脅行為者聲稱漏洞可“一鍵式”利用。但是，由于需要多次點擊、多個步驟，以及特定設置才能在受害者設備上執行惡意有效負載，這大大降低了攻擊成功的風險。

ESET在Telegram的網頁客戶端和Telegram桌面版上測試了該漏洞，發現它在這些平臺上不起作用，因為有效負載被視為MP4視頻文件。

Telegram在10.14.5版中對漏洞進行了修復，現在能正確顯示APK文件的預覽，因此接收者不再會被偽裝成視頻的文件所欺騙。

如果您最近通過Telegram收到要求使用外部應用播放的視頻文件，請使用移動安全套件掃描文件系統，以定位并移除設備上的有效負載。

通常，Telegram視頻文件存儲在“/storage/emulated/0/Telegram/Telegram Video/”（內部存儲）或“/storage/<sd卡id>/Telegram/Telegram Video/”（外部存儲）中。

參考資料：https://www.bleepingcomputer.com/news/security/telegram-zero-day-allowed-sending-malicious-android-apks-as-videos/

來源：安全內參