Súlyos Telegram hibára derült fény

​Az EvilVideo nevű sérülékenység kellemetlen meglepetéseket tud okozni a Telegram felhasználói számára.
 

Az ESET biztonsági kutatói az egyik alvilági fórum feltérképezése során akadtak rá egy olyan hirdetésre, amely egy Telegram exploitot reklámozott. A szakemberek ekkor vizsgálódni kezdtek a Telegram - akkor még csak feltételezett - sérülékenysége miatt. Nem sokkal később rá is akadtak egy biztonsági résre, amelyről a Telegram fejlesztőit június végén értesítették. A hibajavítás végül július 11-én vált elérhetővé.
 
A sérülékenység kizárólag az Android kompatibilis Telegram alkalmazást sújtja, más platformokon nem jelent kockázatot. Amikor azonban a felhasználó egy régebbi, sebezhető Telegram appot használ az androidos készülékén, akkor könnyen pórul járhat. A szóban forgó biztonsági hiba ugyanis lehetőséget ad a támadók számára, hogy tetszőleges, akár kártékony APK-fájlokat videónak álcázzanak. A csalóknak nincs más dolguk, mint a sérülékenység kihasználásával egy APK-fájlt küldeni chaten a kiszemelt felhasználónak, akinek a készülékére automatikusan le is töltődik az állomány. A Telegramban pedig mindez úgy jelenik meg, mintha egy videó lenne, még előnézet is tartozik hozzá.
 
A mondvacsinált videó megnyitásakor a Telegram app jelzi, hogy nem képes lejátszani a videós tartalmat, ezért azt külső alkalmazással lehet csak megnyitni. Ha ezt a lehetőséget választja a felhasználó, akkor valójában egy APK-fájlt indít el, ami aztán elvégzi a tényleges károkozást.
 
A Telegram for Android 10.14.5-ös kiadása már nem tartalmazza a sebezhetőséget, ezért az app mielőbbi frissítése javasolt.