Niezależny badacz bezpieczeństwa cybernetycznego, działający pod pseudonimem 0x6rss, odkrył krytyczną lukę w komunikatorze Telegram dla systemu Android. Ta wada pozwala atakującym na ukrywanie złośliwych aplikacji jako zwykłych filmów.
Atakujący tworzą fałszywe pliki HTML, które Telegram błędnie rozpoznaje jako filmy (z rozszerzeniem .mp4). Gdy taki plik jest wysyłany do czatu, pojawia się jako zawartość multimedialna. Gdy użytkownik próbuje go otworzyć, komunikator prosi o zainstalowanie zewnętrznego odtwarzacza. Jeśli użytkownik się zgodzi, na urządzenie pobierany jest złośliwy plik APK, zdolny do kradzieży danych lub instalacji oprogramowania szpiegującego.
Ważne jest, aby zauważyć, że pomyślna instalacja wymaga od ofiary ręcznego włączenia instalacji aplikacji z nieznanych źródeł w ustawieniach Androida. Jednak, jak pokazuje praktyka, wielu użytkowników nie zdaje sobie sprawy z ryzyka i przyznaje takie uprawnienia, zwłaszcza jeśli plik pochodzi od zaufanego kontaktu.
To drugi tego typu incydent w tym roku. W lipcu 2024 roku odkryto lukę EvilVideo (CVE-2024-7014), działającą na podobnej zasadzie. Oba exploity były aktywnie sprzedawane na cieniach forach, zwiększając skalę potencjalnych ataków.
W momencie publikacji tej wiadomości przedstawiciele Telegramu nie udzielili żadnych oficjalnych komentarzy. Oczekuje się, że łatka zostanie wydana w nadchodzących tygodniach, ale do tego czasu zagrożenie pozostaje krytyczne dla 800 milionów użytkowników wersji Android aplikacji.