ESET araştırmacıları, Haziran 2024’te yeraltı forumunda yayınlanan bir gönderide belirtilmeyen bir fiyata satışa sunulan, Android için Telegram uygulamasını hedef alan bir sıfır gün açığı keşfetti.
EvilVideo açığının Telegram’da nasıl göründüğüne dair bir örnek (kaynak: ESET)
ESET’in “EvilVideo” olarak adlandırdığı bir güvenlik açığını kötüye kullanmak için bu açığı kullanan saldırganlar, kötü amaçlı Android yüklerini Telegram kanalları, grupları ve sohbetleri aracılığıyla paylaşabilir ve bunların multimedya dosyaları gibi görünmesini sağlayabilir.
“Saldırıyı yeraltı forumunda satışa sunulduğunu gördük. Satıcı gönderide, istismarı herkese açık bir Telegram kanalında test ettiği ekran görüntülerini ve videoyu gösteriyor. Söz konusu kanalı, istismar hala mevcutken tespit edebildik. Bu, yükü ele geçirmemize ve kendimiz test etmemize olanak sağladı,” diye açıklıyor Telegram istismarını keşfeden ESET araştırmacısı Lukáš Štefanko.
Exploit Telegram’ın 10.14.4 ve daha eski sürümlerinde çalışır
ESET Research’ün exploit analizi, bunun Telegram’ın 10.14.4 ve daha eski sürümlerinde çalıştığını ortaya koydu. Bunun nedeni, belirli yükün büyük olasılıkla Telegram API’si kullanılarak hazırlanmış olması olabilir, çünkü geliştiricilerin özel olarak hazırlanmış multimedya dosyalarını Telegram sohbetlerine veya kanallarına programatik olarak yüklemelerine olanak tanır. Exploit, tehdit aktörünün bir Android uygulamasını bir multimedya önizlemesi olarak ve ikili bir ek olarak değil görüntüleyen bir yük oluşturabilmesine dayanıyor gibi görünüyor. Sohbette paylaşıldığında, kötü amaçlı yük 30 saniyelik bir video olarak görünür.
Varsayılan olarak, Telegram üzerinden alınan medya dosyaları otomatik olarak indirilecek şekilde ayarlanmıştır. Bu, bu seçeneği etkinleştiren kullanıcıların, paylaşıldığı konuşmayı açtıklarında kötü amaçlı yükü otomatik olarak indirecekleri anlamına gelir. Varsayılan otomatik indirme seçeneği manuel olarak devre dışı bırakılabilir; bu durumda, yük yine de paylaşılan videonun indirme düğmesine dokunarak indirilebilir.
Kullanıcı “videoyu” oynatmaya çalışırsa, Telegram videoyu oynatamadığına dair bir mesaj görüntüler ve harici bir oynatıcı kullanılmasını önerir. Ancak, kullanıcı görüntülenen mesajdaki Aç düğmesine dokunursa, yukarıda belirtilen harici uygulama kılığında kötü amaçlı bir uygulama yüklemesi istenecektir.
ESET, 26 Haziran 2024’te EvilVideo açığını keşfettikten sonra koordineli ifşa politikasını izledi ve bunu Telegram’a bildirdi, ancak o sırada herhangi bir yanıt alamadı. Açığı 4 Temmuz’da tekrar bildirdiler ve o zaman Telegram, ekibinin EvilVideo’yu araştırdığını doğrulamak için aynı gün ESET’e ulaştı. Telegam daha sonra sorunu düzeltti ve 11 Temmuz’da 10.14.5 sürümünü yayınladı. Açık, 10.14.4’e kadar Android için Telegram’ın tüm sürümlerini etkiledi, ancak 10.14.5 sürümünden itibaren güncellendi.