خانه » سوء استفاده از آسیب پذیری EvilVideo در نسخه اندرویدی تلگرام

سوء استفاده از آسیب پذیری EvilVideo در نسخه اندرویدی تلگرام

توسط Vulnerbyte
100 بازدید
آسیب پذیری EvilVideo

محققان ESET یک آسیب پذیری روز صفر به نام EvilVideo را در پیام رسان تلگرام کشف کرده‌اند که دستگاه‌های اندروید را مورد هدف قرار می‌دهد. آسیب پذیری EvilVideo به مهاجمان این امکان را می‌دهد تا فایل‌های APK مخرب را به صورت فایل‌های ویدیویی ارسال کنند.

یک مهاجم سایبری به نام “Ancryno” برای اولین بار در ششم ژوئن 2024 در پستی در یک انجمن هک XSS روسی زبان شروع به فروش یک اکسپلویت تلگرامی کرد و اظهار داشت که این نقص در نسخه ۱۰.۱۴.۴ و بالاتر تلگرام وجود دارد.

محققان ESET پس از به اشتراک گذاشته شدن دموی PoC در یک کانال عمومی تلگرام، این نقص را کشف کردند که به آنها این امکان را می‌داد تا پیلود مخرب را دریافت کنند.

آسیب پذیری EvilVideo
هکری که اکسپلویت را در یک انجمن هک به فروش می‌رساند

لوکاس استفانکو، محقق ESET، در بیست و ششم ژوئن و بار دیگر در چهارم جولای 2024 این نقص تلگرام را فاش و گزارش کرد. تلگرام نیز در چهارم جولای پاسخ داد و اعلام کرد که در حال بررسی این گزارش است و سپس این آسیب ‌پذیری را در نسخه ۱۰.۱۴.۵ برطرف کرد. این نسخه جدید در یازدهم جولای 2024 منتشر شد.

این بدان معناست که مهاجمان حداقل پنج هفته فرصت داشتند تا از آسیب پذیری EvilVideo سوء استفاده کنند.

در حالی که مشخص نیست که آیا این آسیب پذیری روز صفر تاکنون مورد سوء استفاده قرار گرفته است یا خیر، ESET یک سرور فرماندهی و کنترل (C2) را به اشتراک گذاشت که توسط پیلودهایی در infinityhackscharan.ddns[.]net استفاده می‌شود.

BleepingComputer دو فایل APK مخرب را با استفاده از این C2 در VirusTotal یافته است که وانمود می‌کنند آنتی ویروس Avast و یک نسخه پریمیوم xHamster می‌باشند.

 

بهره برداری از آسیب پذیری EvilVideo در تلگرام

آسیب پذیری EvilVideo در تلگرام تنها بر نسخه‌های اندروید تاثیر می‌گذارد و به مهاجمان اجازه می‌دهد فایل‌های APK ساخته ‌شده‌ای بسازند که وقتی برای سایر کاربران در تلگرام ارسال می‌کنند، به ‌عنوان یک فایل ویدیویی نمایش داده شوند.

ESET معتقد است که این اکسپلویت روز صفر از API تلگرام برای ایجاد پیامی که به نظر می‌رسد یک ویدیوی 30 ثانیه‌ای را نشان می‌دهد، استفاده می‌کند.

پیش نمایش فایل APK به عنوان یک کلیپ 30 ثانیه‌ای
پیش نمایش فایل APK به عنوان یک کلیپ 30 ثانیه‌ای

برنامه تلگرام نسخه اندروید با توجه به تنظیمات پیش‌فرض به‌ طور خودکار فایل‌های رسانه‌ای را دانلود می‌کند. از این رو، اعضای کانال پس از باز کردن چت، پیلود را در دستگاه خود دریافت خواهند کرد.

برای کاربرانی که دانلود خودکار را غیرفعال کرده‌اند نیز تنها یک ضربه بر روی پیش‌نمایش ویدیو کافی است تا فایل شروع به دانلود کند.

هنگامی که کاربران سعی می‌کنند ویدیوی جعلی را پخش کنند، تلگرام پیشنهاد میدهد از یک پخش کننده خارجی استفاده کنند که ممکن است باعث شود کاربران دکمه ” Open ” را فشار داده و پیلود را اجرا کنند.

درخواست راه اندازی یک پخش کننده ویدیوی خارجی
درخواست راه اندازی یک پخش کننده ویدیوی خارجی

اکنون قربانیان می‌بایست نصب برنامه‌های ناشناخته را از قسمت تنظیمات دستگاه فعال کنند و به فایل APK مخرب اجازه دهند بر روی دستگاه نصب گردد.

آسیب پذیری EvilVideo
مرحله نیاز به تأیید نصب APK

اگرچه مهاجم ادعا می‌کند که این یک اکسپلویت ” one-click ” است (یعنی با یک بار کلیک بر روی آن اجرا می‌شود)، اما این واقعیت که برای اجرای یک پیلود مخرب بر روی دستگاه قربانی به چندین کلیک، مراحل و تنظیمات خاص نیاز است، خطر حمله موفق را به میزان قابل توجهی کاهش می‌دهد.

ESET این اکسپلویت را بر روی کلاینت وب و نسخه دسکتاپ تلگرام آزمایش کرد و متوجه شد که در آنجا عمل نمی‌کند زیرا پیلود به عنوان یک فایل ویدئویی MP4 در نظر گرفته می‌شود.

آسیب پذیری EvilVideo تلگرام در نسخه ۱۰.۱۴.۵ اکنون فایل APK را به درستی در پیش نمایش نشان می‌دهد. از این رو، کاربران دیگر فریب آنچه را که به عنوان فایل ویدیویی ظاهر می‌شود، نخواهند خورد.

چنانچه اخیراً فایل‌ ویدیویی از تلگرام دریافت کرده‌اید که یک برنامه خارجی را برای پخش درخواست می‌کند، سیستم فایل را با استفاده از مجموعه امنیتی تلفن همراه اسکن کنید تا پیلودها از دستگاه حذف شوند.

به طور معمول، فایل‌های ویدیویی تلگرام در مسیر ” storage/emulated/0/Telegram/Telegram Video/ ” (حافظه داخلی دستگاه) و در مسیر ” /storage/<SD Card ID>/Telegram/Telegram Video/ ” (حافظه خارجی) ذخیره می‌شوند.

گوگل اعلام کرده است که کاربران اندروید به طور خودکار توسط Google Play Protect، در برابر نسخه‌های شناخته شده بدافزار نصب شده از طریق چنین حملاتی محافظت می‌شوند.

 

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید