Telegram零日漏洞被售卖数周：恶意APK文件可伪装成视频消息

主要观点总结

本文主要介绍了关于Telegram安卓版的一个名为“EvilVideo”的零日漏洞，攻击者可利用该漏洞伪装恶意安卓APK文件为视频文件发送。该漏洞允许攻击者创建特制的APK文件，通过Telegram发送给其他用户，利用Telegram自动下载媒体文件的默认设置，以及用户的行为习惯，如播放视频和安装未知应用程序，来在受害者设备上执行恶意有效负载。文章还提到了该漏洞的发现、披露、修补过程以及一些相关细节。

关键观点总结

关键观点1: “EvilVideo”零日漏洞的存在和危害

该漏洞允许攻击者伪装恶意文件，通过Telegram发送给其他用户，增加了攻击的隐蔽性和危险性。

关键观点2: 漏洞利用的步骤和条件

攻击者需要多步交互和授权才能在受害者设备上执行恶意有效负载，这降低了攻击成功的风险。

关键观点3: 漏洞的修补和防范

ESET研究员发现了该漏洞并负责任地披露，Telegram在后续版本中对漏洞进行了修补。用户需要保持安全使用习惯，警惕通过Telegram收到的视频文件，及时扫描和清除设备上的恶意有效负载。

文章预览

关注我们 带你读懂网络安全 利用该漏洞需要多步交互和授权，这大大降低了攻击成功的风险； 相关零日漏洞在地下论坛长期售卖，也说明了攻击者的旺盛需求，用户需要尽可能保持安全使用习惯。 前情回顾· 窃密零日漏洞层出不穷 2023年零日漏洞在野利用激增，商业间谍软件是主要使用者 单个漏洞利用链最高近1.5亿元！零日漏洞采购价格暴涨 苹果WiFi定位系统漏洞可监控全球数亿设备 八大主流中文手机输入法曝出泄密漏洞，仅华为幸免 安全内参7月23日消息，一个名为“EvilVideo”的Telegram安卓版零日漏洞，允许攻击者将恶意的安卓APK有效负载伪装成视频文件发送。 6月6日，威胁行为者“Ancryno”在XSS俄语黑客论坛上发帖，首次销售Telegram零日漏洞利用工具，称此漏洞存在于Telegram v10.14.4及更早版本中。 欧洲安全厂商ESET的研究人员在一个公共Telegram频 ………………………………