Telegram закрыл уязвимость нулевого дня, позволявшую злоумышленникам отправлять вредоносные APK-файлы под видом видеороликов.
Уязвимость затрагивала пользователей Android и использовалась для распространения вредоносного ПО. Специалисты по кибербезопасности из ESET обнаружили уязвимость, которую злоумышленники назвали «EvilVideo». Она позволяла маскировать установку вредоносного приложения под обычную видеозапись.
Вредоносные APK-файлы маскировались под видеофайлы, и при попытке воспроизведения таких файлов Telegram выдавал ошибку и предлагал использовать внешний плеер, что побуждало жертву нажимать кнопку «Открыть», где жертву ждала установка вредоносного приложения.
Проблема была выявлена в версиях Telegram до 10.14.4. На хакерском форуме XSS эксплойт нулевого дня был выставлен на продажу пользователем под ником Ancryno. Компания ESET подтвердила работоспособность эксплойта и сообщила о проблеме руководству Telegram 26 июня и 4 июля.
В ответ на это, 11 июля Telegram выпустил версию 10.14.5, в которой уязвимость была устранена. Несмотря на заявление хакеров об «одном клике», фактический процесс атаки требовал нескольких действий со стороны жертвы, что снижало риск успешного выполнения атаки поскольку жертва должна была подтвердить установку неизвестного приложения. Эксплойт не сработал на Telegram Desktop, так как там вредоносный файл обрабатывался как MP4-видео, а не как APK-файл.
Обновление в версии 10.14.5 теперь корректно отображает APK-файлы в предварительном просмотре, исключая возможность обмана пользователей.
