Vulnerabilities EvilVideo
- Phương pháp khai thác:
Vulnerability cho phép kẻ tấn công thao tác các tệp video để phát tán APK độc hại. Khi người dùng cố gắng phát một tệp “video” được chế tạo đặc biệt, Telegram sẽ yêu cầu họ mở tệp đó trong một ứng dụng bên ngoài.
- Cơ chế tấn công:
Kẻ tấn công tạo một tệp HTML với phần mở rộng MP4, mà Telegram nhầm lẫn là tệp video. Khi mở, người dùng sẽ được nhắc khởi chạy nó trong một ứng dụng bên ngoài, tại thời điểm đó mã độc có thể được thực thi.
- Cần sự tương tác của người dùng:
Trước khi ứng dụng độc hại được cài đặt, người dùng phải bật rõ ràng việc cài đặt ứng dụng từ các nguồn không xác định trên thiết bị Android của mình. Điều này bao gồm cấp phép cho việc cài đặt ứng dụng từ các nguồn không xác định, một cài đặt bảo mật thường bị vô hiệu hóa theo mặc định.
- Bối cảnh lịch sử:
Đây là lần thứ hai một lỗ hổng tương tự được phát hiện nhắm vào Telegram cho Android. Lỗ hổng đầu tiên, EvilVideo, được công bố vào tháng 7 năm 2024 và được theo dõi với mã CVE-2024-7014.
- Tình trạng khai thác:
Tệp tải xuống cho EvilVideo đã được rao bán trên một diễn đàn ngầm kể từ ngày 15 tháng 1 năm 2025, gia tăng lo ngại về việc nó bị lạm dụng rộng rãi.
- Các bước giảm thiểu:
Cho đến khi Telegram giải quyết vấn đề này, người dùng nên thực hiện các biện pháp phòng ngừa như cập nhật Telegram, tắt chế độ tự động tải xuống tệp truyền thông, tránh các tệp truyền thông không đáng tin cậy, và sử dụng phần mềm bảo mật phát hiện APK độc hại.
Tóm tắt
Lỗ hổng EvilVideo khai thác cách Telegram xử lý các tệp video, cho phép kẻ tấn công che giấu các APK độc hại dưới dạng tệp video vô hại. Lỗ hổng này vẫn chưa được vá và đã được bán trên các diễn đàn ngầm, khiến nó trở thành một mối đe dọa nghiêm trọng đối với người dùng Telegram. Người dùng được khuyên nên cẩn thận khi xử lý các tệp truyền thông và thực hiện các biện pháp bảo mật được khuyến nghị cho đến khi có bản vá được phát hành.
