- Специальный корреспондент
Уязвимость в Telegram позволяла маскировать инсталляторы Android (APK) под видеоролики. Однако их проигрывание требовало совершения множества операций со стороны пользователя, нацеленных на понижение защиты.
Троянские видео
Уязвимость нулевого дня в мессенджере Telegram обеспечила возможность зломышленникам рассылать вредоносные программы под ОС Android, замаскированные под видеоролики. Уязвимость срабатывала только в версиях Telegram под Android: она позволяла злоумышленникам выдавать файлы APK (инсталляторы приложений под Android) за встроенные видео и в такой форме рассылать их другим пользователям. Telegram не считает это уязвимостью, но пообещал защитить пользователей.По мнению экспертов ESET, эксплойт использовал API Telegram для алгоритмического создания сообщения, которое представлялось 30-секундным видео. По умолчанию приложение Telegram под Android автоматически закачивает медиафайлы на устройство, так что адресаты сразу же получали вредоносный файл к себе, стоило им только открыть диалог или чат, куда мнимое видео было загружено. Те, у кого автозагрузка медиаконтента отключена, все равно получали этот файл в случае нажатия на превью.
При попытке проиграть такой «видеоролик» выводилось сообщение о необходимости использовать сторонний плеер. И если пользователь наивно нажимал «открыть», вредоносное содержимое могло активироваться. Правда, о пользователя потребовалось бы выставить в настройках устройства разрешение на установку непроверенных приложений. Необходимость произвести эти операции, естественно, снижает – но, увы, не устраняет полностью – вероятность заражения.
«Видео, которое требует установки каких-то сторонних приложений, к тому же непонятно откуда, это не просто признак угрозы, а большая и яркая неоновая вывеска, – говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. – К сожалению, немало пользователей ради просмотра «прикольного видео» готовы устанавливать вредоносы на свой смартфон, просто по незнанию основ безопасности».
Эксперты компании ESET обнаружили демонстрационный эксплойт в публичном канале Telegram и смогли получить и изучить его основной компонент.
Как указывается в материале издания Bleeping Computer, с 6 июня 2024 г. эксплойт к уязвимости продается на русскоязычном хакерском форуме XSS. Продавец, известен под ником Ancryno, уязвимость присутствует в версиях Telegram v10.14.4 и более старых. Он также заявил, что эксплойт срабатывает в один клик, но это очевидная ложь.
Работоспособность эксплойта в версии 10.14.4 под Android подтверждена. Эксперты ESET присвоили ему название EvilVideo. В веб-версии Telegram и Telegram Desktop уязвимость использовать не удастся: они рассматривают мнимое видео как ролик в формате MP4, и не позволяют осуществлять его запуск в каком-либо другом варианте.
Telegram подтвердил наличие уязвимости только 4 июля, и выпустил защищенное обновление 11 июля, хотя информацию в мессенджер передали значительно раньше. У злоумышленников было как минимум пять недель на эксплуатацию.
Представители Telegram прислали изданию Bleeping Computer противоречивое заявление: «Данный эксплойт не является уязвимостью Telegram. Он требует, чтобы пользователи открыли видеролик, изменили настройки безопасности Android, а затем вручную установили подозрительное «медиаприложение». Мы получили информацию об эксплойте 5 июля и 9 июля установили на серверной стороне исправление, которое защитит пользователей всех версий Telegram».
По крайней мере, теперь APK-файлы невозможно маскировать под видеоролики.
