背景圖片取自/Jr Korpa on Unsplash

資安業者ESET本周揭露了Android版Telegram的一個安全漏洞,允許駭客於Telegram頻道、群組或聊天室中分享惡意的APK檔案,並將它偽裝成影音檔,以吸引使用者播放,進而安裝其它惡意程式。

Telegram的預設會自動下載多媒體檔案,儘管駭客分享的不是多媒體檔案,而是一個二進位的APK檔,卻被Telegram視為影片檔而自動下載,但它的副檔名卻是.apk。

在Android版Telegram用戶收到此一看起來像是影片的檔案後,由於它並非影片,因此無法播放,Telegram會建議用戶使用其它的播放程式來播放,當使用者選擇使用其它程式時,所安裝的就是駭客所提供的惡意程式。

圖片來源/ESET

研究人員認為,駭客所製作的酬載應該是利用Telegram API打造的,猜測漏洞存在於Telegram允許駭客將二進位應用程式顯示為影片,以欺騙使用者。

ESET是在6月26日發現駭客正於地下論壇兜售該漏洞,它影響Android for Telegram 10.14.4及更早之前的版本,並通知Telegram,Telegram則在7月11日釋出10.14.5版進行修補。

圖片來源/ESET

此外,此一漏洞僅波及Android版Telegram,不管是透過Web版或Windows版的Telegram接收該偽裝成影片的APK檔時,該檔案的副檔名皆會被Telegram轉為.mp4,企圖播放時即會出現錯誤,因而逃過一劫。

熱門新聞

Advertisement