Android版Telegramの脆弱性EvilVideoにより、動画に見せかけた有害ファイルの送信が可能になっていた
Android向けTelegramアプリに、悪意あるファイルを一見無害な動画に見せかけることを可能にするゼロデイ脆弱性が存在していたという。アンダーグラウンドフォーラムで販売されていたエクスプロイトをESETが発見したことで、この脆弱性の存在が明らかになった。
エクスプロイトがハッカー「Ancryno」によって売り出され始めたのは今年6月6日。販売に関する同ハッカーの投稿には、ある公開Telegramチャンネル内でこのエクスプロイトをテストする様子を写したスクリーンショットと動画が添付されていたという。ESETは6月初旬にこの投稿を発見し、サンプルを入手してエクスプロイトが有効であることを確かめた。
ESETが「EvilVideo」と命名したこの脆弱性は、悪意あるペイロードをマルチメディアファイルに見せかけて、Telegramチャンネル、グループ、およびチャット内で送ることを可能にするもの。エクスプロイトでは、メディアファイルを自動でダウンロードするというTelegramのデフォルト設定が利用されており、以下のような流れで脆弱性が悪用される。
- 動画クリップに見せかけた悪意あるファイルがTelegramチャンネルなどで送信される
- ユーザーがこの「動画」を再生しようとすると、Telegramは「ファイルを再生できない」というメッセージを表示し、外部プレーヤーを使うかどうか尋ねる
- ユーザーが外部プレーヤーの「Open」をタップすると、デバイス設定を変更して未知のアプリのインストールを許可するよう求められる
- 誘導された通りに設定を変更し、再度動画を再生しようとして外部プレーヤーの「Open」をタップすると、外部アプリのインストール画面が表示される
- 「Install」をタップすると、背後に隠されたマルウェアがダウンロードされる
TelegramはESETからの報告を受けて、2024年7月11日リリースのバージョン10.14.5で同脆弱性を修正。この脆弱性が実際の攻撃で悪用されたかどうかは不明なものの、脅威アクターたちにとっての悪用チャンスは、エクスプロイトの販売開始からパッチリリースまでの少なくとも5週間あったと言える。Android版Telegramアプリの利用者には、最新版へのアップデートが推奨されている。
<ESETによるエクスプロイトの再現デモ動画>