У Telegram на Android виявили вразливість нульового дня EvilVideo, яка дозволяла зловмисникам надсилати шкідливі APK, замасковані під відеофайли. Про це пише Bleeping Computer.
На російськомовному форумі XSS 6 червня з'явився пост від користувача Ancryno, у якому він запропонував продати іншим вразливість нульового дня, яка працює у Telegram версії v10.14.4 та старіших.
4 липня у Telegram відповіли, що вивчають проблему. Її розв'язали у версії 10.14.5, яка була випущена 11 липня. Отже, у зловмисників було близько 5 тижнів на те, щоб користатися новою вразливістю месенджера, та досі є можливість, якщо користувачі не оновили програму.
Ця вразливість дозволяла зловмисникам створювати APK файли, замасковані під відео, які пізніше надсилали користувачам у месенджері. Міжнародний розробник антивірусного ПЗ ESET вважає, що зловмисники використовували API Telegram для того, щоб створювати повідомлення, які мали вигляд 30-секундних відео.
Враховуючи, що за замовчуванням програма на Android автоматично завантажує всі файли, використання подібної вразливості було набагато простішим. Завантаження шкідливого APK розпочиналося щойно користувачі відкривали повідомлення. Для тих, у кого автозавантаження було вимкнуте, достатньо було всього раз натиснути на відео, щоб APK також почало завантажуватися.
Коли користувачі намагалися відтворити відео, Telegram пропонував використовувати внутрішній плеєр, внаслідок якого користувачам пропонували "Відкрити" його, внаслідок чого також починалося завантаження шкідливого ПЗ.
Проте, для того, щоб шкідливе ПЗ було встановлене на смартфони користувачів, їм також необхідно було ввімкнути встановлення невідомих програм у налаштуваннях пристрою. Зловмисники зазначали, що ця вразливість виконується в один клік, проте для успішного зараження смартфона все ж потрібно було виконати більше дій.
Представник Telegram розповів, що це не є вразливістю месенджера, адже від користувача вимагалося відкрити відео та змінити налаштування безпеки Android, й тільки після цього підозріле APK можна було встановити.