Telegram零日漏洞被售卖数周：恶意APK文件可伪装成视频消息

文章预览

关注我们 带你读懂网络安全 利用该漏洞需要多步交互和授权，这大大降低了攻击成功的风险； 相关零日漏洞在地下论坛长期售卖，也说明了攻击者的旺盛需求，用户需要尽可能保持安全使用习惯。 安全内参7月23日消息，一个名为“EvilVideo”的Telegram安卓版零日漏洞，允许攻击者将恶意的安卓APK有效负载伪装成视频文件发送。 6月6日，威胁行为者“Ancryno”在XSS俄语黑客论坛上发帖，首次销售Telegram零日漏洞利用工具，称此漏洞存在于Telegram v10.14.4及更早版本中。 欧洲安全厂商ESET的研究人员在一个公共Telegram频道上，分享概念验证（PoC）演示后发现了该漏洞，藉此获取了恶意有效负载。 图：威胁行为者在黑客论坛上出售漏洞利用工具 ESET确认该漏洞在Telegram v10.14.4及更早版本中有效，并将其命名为“EvilVideo”。ESET研究员Lukas Stefanko于6月26日和7月4日两 ………………………………