资安业者ESET本周揭露了Android版Telegram的一个安全漏洞,允许骇客于Telegram频道、群组或聊天室中分享恶意的APK档案,并将它伪装成影音档,以吸引使用者播放,进而安装其它恶意程式。
Telegram的预设会自动下载多媒体档案,尽管骇客分享的不是多媒体档案,而是一个二进位的APK档,却被Telegram视为影片档而自动下载,但它的副档名却是.apk。
在Android版Telegram用户收到此一看起来像是影片的档案后,由于它并非影片,因此无法播放,Telegram会建议用户使用其它的播放程式来播放,当使用者选择使用其它程式时,所安装的就是骇客所提供的恶意程式。
图片来源/ESET
研究人员认为,骇客所制作的酬载应该是利用Telegram API打造的,猜测漏洞存在于Telegram允许骇客将二进位应用程式显示为影片,以欺骗使用者。
ESET是在6月26日发现骇客正于地下论坛兜售该漏洞,它影响Android for Telegram 10.14.4及更早之前的版本,并通知Telegram,Telegram则在7月11日释出10.14.5版进行修补。
图片来源/ESET
此外,此一漏洞仅波及Android版Telegram,不管是透过Web版或Windows版的Telegram接收该伪装成影片的APK档时,该档案的副档名皆会被Telegram转为.mp4,企图播放时即会出现错误,因而逃过一劫。