A Telegram androidos változatában lévő nulladik napi (zero-day) sérülékenység, az EvilVideo lehetővé tette a támadók számára, hogy videofájlnak álcázott kártékony programokat telepítsenek a telefonokra - írja a Bleeping Coputer cikke nyomán a hvg.hu.
A Telegram régebbi, 10.14.4-es verzióiban volt jelen a sebezhetőség, és az ESET kiberbiztonsági kutatói bukkantak rá.
A biztonsági rés legalább öt héten keresztül jelen volt, és ezalatt a rosszindulatú felek könnyedén kihasználhatták, bár az nem tisztázott, hogy tényleg éltek-e a helyzettel.
Az ESET viszont megosztott néhány részletet egy parancs- és vezérlőszerverről, melyet a kártékony tartalmak használhattak, hogy kapcsolatot tartsanak fent a rosszindulatú felek és a készülék között. Ezek közül volt, ami az Avast vírusirtójának álcázta magát, míg egy másik az egyik ismert pornóoldal prémium funkcióihoz ígért hozzáférést.
A lap szerint a Telegram hibája lehetővé tette, hogy a támadók olyan speciálisan kialakított telepítőfájlokat hozzanak létre, amik másoknak elküldve videónak látszottak. A csevegőapp automatikusan letölti a beérkező képeket és videókat, és mivel az álcázott kártevőt is videónak vélte, így ezek esetében sem tett másképp. Ha a felhasználó letiltotta az automatikus letöltést, egy kattintással akkor is elvégezhette a folyamatot, ha kíváncsi volt a kapott tartalomra.
Amint az áldozat gyanútlanul megnyitotta a "videót", a Telegram egy külső lejátszót javasolt neki, amit a "Megnyitás" gomb megérintésével indíthatott el, ez azonban csak a kártékony program telepítőjét engedte szabadjára.
Ezt követően még szükség volt pár engedély megadására, azonban ha a felhasználó ezt is megtette, már ott is volt a telefonján a veszélyes, adattolvaj malware.
Azóta a Telegram javította a sebezhetőséget - a szerveroldalon is, tehát nem is feltétlenül szükséges telepíteni hozzá a legutóbbi frissítést, ennek ellenére a nagyobb biztonság érdekében érdemes megtenni - írják.