该漏洞于2024 年6 月6 日首次发现,当时ESET 研究人员在地下论坛上看到了该漏洞的广告。卖家化名“Ancryno”,正在以未公开的价格出售该零日漏洞,并声称该漏洞适用于Telegram 10.14.4 及更早版本。于是ESET追踪了相关渠道,获取了恶意负载,并进行了详细分析。
分析显示,“EvilVideo”漏洞仅适用于Android 版本的Telegram,攻击者可以利用该漏洞创建特制的APK 文件,并在发送给其他用户时以视频格式显示。默认情况下,Telegram 应用程序会自动下载媒体文件,因此频道参与者一旦打开对话,就会在其设备上收到恶意负载。对于禁用自动下载的用户,单击视频预览也将启动文件下载。当用户尝试播放假视频时,Telegram 会弹出使用外部播放器的提示窗口,这可能会导致接收者点击“打开”按钮并执行恶意负载。
ESET向Telegram报告此问题后,Telegram在2024年7月11日发布的v10.14.5版本中修复了该漏洞。这意味着攻击者有至少五周的时间来利用这个零日漏洞。
如果Telegram 用户最近收到请求使用外部应用程序播放的视频文件,为了安全起见,最好执行防病毒扫描。 Telegram 视频文件通常存储在“/storage/emulated/0/Telegram/Telegram Video/”(内部存储)或“/storage/SD 卡ID/Telegram/Telegram Video/”(外部存储)中。
本文采摘于网络,不代表本站立场,转载联系作者并注明出处:https://www.iotsj.com//kuaixun/4099.html
用户评论
太可怕了!原来 Telegram 也有漏洞,这可是我最常用的聊天软件,以后要谨慎点!
有15位网友表示赞同!
幸好我一般不用 Telegram 传视频,看来还是得提高警惕!
有5位网友表示赞同!
Telegram 的安全性一直都挺高的,这次漏洞还挺严重的,希望官方能尽快修复。
有19位网友表示赞同!
这漏洞太厉害了,恶意文件伪装成视频传播,真的难以防范。
有5位网友表示赞同!
这漏洞太可怕了,幸好还没中招!
有16位网友表示赞同!
Telegram 应用程序中发现零日漏洞,这下麻烦大了!
有14位网友表示赞同!
这漏洞也太厉害了,还能伪装成视频,太危险了!
有6位网友表示赞同!
希望官方能尽快发布安全更新,修复这个漏洞。
有5位网友表示赞同!
Telegram 的安全性一直都挺强的,希望这次能尽快解决漏洞问题。
有17位网友表示赞同!
Telegram 的安全性也要提高啊,这次漏洞太严重了。
有20位网友表示赞同!
还好我一般不用 Telegram 传视频,不然就中招了。
有19位网友表示赞同!
这个漏洞太可怕了,以后传视频一定要谨慎点!
有12位网友表示赞同!
看来还是得谨慎使用 Telegram,这个漏洞太可怕了!
有7位网友表示赞同!
这漏洞太厉害了,希望官方能尽快修复。
有10位网友表示赞同!
这个漏洞太严重了,希望官方能尽快发布更新。
有10位网友表示赞同!
Telegram 的安全性真是越来越重要了。
有13位网友表示赞同!
这个漏洞太厉害了,希望大家都能提高警惕!
有13位网友表示赞同!
Telegram Android应用程序的安全性要加强了。
有10位网友表示赞同!
这次漏洞太可怕了,希望官方能尽快解决。
有6位网友表示赞同!
Telegram 应该加强安全性,避免类似漏洞再次发生。
有5位网友表示赞同!