2024年7月22日，ESET研究人员披露Telegram存在一个名为“EvilVideo”的零日漏洞，该漏洞影响 Telegram v10.14.4 及更早版本。利用这一漏洞，攻击者可以在Telegram频道、聊天和群组中，将恶意 Android APK 伪装成视频文件传播。

该漏洞最初被发现于2024年6月6日，当时ESET研究人员在一个地下论坛上看到了一则关于该漏洞的广告。化名“Ancryno”的卖家以未公开的价格出售该零日漏洞，声称其适用于Telegram版本10.14.4及更早版本。于是ESET追踪到相关频道，获取恶意负载并进行详细分析。

分析结果显示，“EvilVideo”漏洞仅在 Telegram 的 Android 版本中有效，允许攻击者创建特制的 APK 文件，而这些文件在发送给其他用户时会显示为视频格式。在默认设置下，Telegram 应用会自动下载媒体文件，因此频道参与者一打开对话就会在设备上接收到恶意负载。对于已禁用自动下载的用户，单击视频预览也会启动文件下载。而当用户尝试播放假视频时，Telegram 会弹出使用外部播放器提示窗口，这可能导致接收者点击“打开”按钮并执行恶意负载。

ESET向Telegram报告这一问题后，Telegram于2024年7月11日发布的 v10.14.5 版本中修复了此漏洞。这意味着攻击者已至少有五周时间可以利用该0day。

Telegram用户如果最近有收到请求使用外部应用播放的视频文件，保险起见最好进行一次杀毒扫描。Telegram视频文件通常会存储在 '/storage/emulated/0/Telegram/Telegram Video/'（内部存储）或 '/storage/<SD Card ID>/Telegram/Telegram Video/'（外部存储）之中。

编辑：左右里

资讯来源：welivesecurity

转载请注明出处和本文链接

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法