Android版Telegram漏洞讓駭客將惡意程式偽裝成影音檔

資安業者ESET本周揭露了Android版Telegram的一個安全漏洞，允許駭客於Telegram頻道、群組或聊天室中分享惡意的APK檔案，並將它偽裝成影音檔，以吸引使用者播放，進而安裝其它惡意程式。

Telegram的預設會自動下載多媒體檔案，儘管駭客分享的不是多媒體檔案，而是一個二進位的APK檔，卻被Telegram視為影片檔而自動下載，但它的副檔名卻是.apk。

在Android版Telegram用戶收到此一看起來像是影片的檔案後，由於它並非影片，因此無法播放，Telegram會建議用戶使用其它的播放程式來播放，當使用者選擇使用其它程式時，所安裝的就是駭客所提供的惡意程式。

圖片來源／ESET

研究人員認為，駭客所製作的酬載應該是利用Telegram API打造的，猜測漏洞存在於Telegram允許駭客將二進位應用程式顯示為影片，以欺騙使用者。

ESET是在6月26日發現駭客正於地下論壇兜售該漏洞，它影響Android for Telegram 10.14.4及更早之前的版本，並通知Telegram，Telegram則在7月11日釋出10.14.5版進行修補。

圖片來源／ESET

此外，此一漏洞僅波及Android版Telegram，不管是透過Web版或Windows版的Telegram接收該偽裝成影片的APK檔時，該檔案的副檔名皆會被Telegram轉為.mp4，企圖播放時即會出現錯誤，因而逃過一劫。