Telegram, Android için sohbet ve medya paylaşım uygulamasının eski sürümlerinde bulunan ve saldırganların video dosyalarına kötü amaçlı yükleri gizlemesine olanak tanıyan sıfır günlük bir açığı düzeltti.
ESET Araştırma’dan araştırmacılar kusuru keşfettiki onlar bunu seslendirdiler “KötüVideo” 6 Haziran’da Rusça bir hacker forumunda exploit için bir reklam bulduktan sonra. Exploit şu şekilde çalışır: Telgraf 10.14.4 ve daha eski sürümler.
“Saldırıyı kullanarak … saldırganlar kötü amaçlı Android yüklerini şu şekilde paylaşabilir: Telgraf ESET kötü amaçlı yazılım araştırmacısı Lukas Stefanko, ESET’in WeLiveSecurity blogunda yayınlanan bir yazıda, “Kanalları, grupları ve sohbeti yapılandırıp bunları multimedya dosyaları olarak göstermeyi hedefliyoruz” açıklamasını yaptı.
ESET’e göre, istismar, bir tehdit aktörünün bir Android uygulamasını bir multimedya önizlemesi olarak ve ikili bir ek olarak değil görüntüleyen bir yük oluşturabilmesine dayanıyor gibi görünüyor. Sohbette paylaşıldığında, kötü amaçlı yük (davranışı belirtilmemiş) 30 saniyelik bir video olarak görünür.
Stefanko, araştırmacıların saldırganların belirli yükü Telegram API’sini kullanarak hazırladıklarına inandıklarını, çünkü “bu API’nin geliştiricilerin özel olarak hazırlanmış multimedya dosyalarını Telegram sohbetlerine veya kanallarına programlı bir şekilde yüklemesine olanak tanıdığını” yazdı.
ESET, açığı ve kusuru hemen Telegram’a bildirdi, ancak Telegram ilk başta yanıt vermedi ve araştırmacıları 5 Temmuz’da kuruluşla tekrar iletişime geçmeye teşvik etti. Telegram ikinci iletişim çabasına yanıt verdi ve 11 Temmuz’da sorunu düzeltmek için Android uygulamasının 10.14.5 ve üzeri sürümlerini güncelledi. Kullanıcılar, tehlikeye girmemek için uygulamalarını hemen güncellemelidir. Telegram bugün kusurla ilgili yorum talebine hemen yanıt vermedi.
Exploit Kullanıcı Eylemi Gerektirir
Telegram kullanıcıları tarafından alınan medya dosyaları otomatik olarak indirilecek şekilde ayarlanmıştır; kullanıcılar bu seçeneği varsayılan olarak etkinleştirirse ve kötü amaçlı bir yük içeren bir medya dosyası alırlarsa, paylaşıldığı konuşmayı açtıklarında hemen indirmeye başlayacaktır. Bu seçenek kapatılabilir, bu durumda bir medya dosyası kullanıcı tarafından manuel olarak indirilebilir.
Exploit durumunda, video bir multimedya önizlemesi olarak görüntülendiğinden, kullanıcı oynatmak için üzerine tıklamak zorundadır. Bunu yaparlarsa, Telegram oynatamadığına dair bir mesaj görüntüler ve harici bir oynatıcı kullanmayı önererek kullanıcıya dosyayı “iptal etme” veya “açma” seçeneği sunar. Araştırmacılar, bunun yüke özgü olmayan orijinal bir Telegram uyarısı olduğunu söyledi.
Kullanıcı görüntülenen mesajdaki “aç” butonuna dokunduğunda, söz konusu harici oynatıcı gibi gizlenmiş kötü amaçlı bir uygulamanın yüklenmesi için bir istek açılır ve kötü amaçlı yazılımın yüklenmesi için kullanıcının buna onay vermesi gerekir.
Stefanko, “İlginçtir ki, paylaşılan dosyanın bir video gibi görünmesinin sebebi, güvenlik açığının doğasıdır; gerçek kötü amaçlı uygulama, bir multimedya dosyası gibi görünecek şekilde değiştirilmemiştir; bu da yükleme işleminin büyük olasılıkla suistimal edildiğini düşündürmektedir” dedi.
ESET, açığı yalnızca Android’de değil, aynı zamanda Telegram Web istemcisinde ve Windows için Telegram Masaüstü istemcisinde de test etti; ancak son iki platformda çalışmadı.
Saldırgan Diğer ‘Şüpheli’ Hizmetler Sağlıyor
Araştırmacılar, iddia edilen harici oynatıcıyı gerçekten kurmanın ekstra bir adım olmasının başarılı bir saldırı olasılığını azalttığını kabul etseler de, tehdit aktörlerinin açığı keşfetmeleri ile Telegram’ın düzeltmesi arasında beş hafta vardı ve bu da onlara açığı kullanmak için yeterli zaman verdi. Telegram, ana kanal sadece saldırganlar aracılığıyla değil, çeşitli biçimlerdeki siber saldırılar için Hesapları hacklemek veya kötü amaçlı dosyaların iletilmesinin yanı sıra çeşitli kanallar ve uygulamalar Platform için mevcut olanlar.
ESET, saldırının arkasında kimin olduğunu henüz tespit edemedi ancak forum gönderisinde paylaşılan Telegram kullanıcı adına dayanarak satıcılarının sağladığı başka bir “şüpheli hizmet” buldu: “tamamen tespit edilemez” olarak tanıtılan ve 11 Ocak’tan beri satışta olan bir Android şifreleme hizmeti.
Araştırmacılar, ESET’in güvenlik açığından faydalanmak için bir dizi tehlike göstergesi (IoC) yayınladı. GitHub sayfasıMobil kullanıcıların, tanımadıkları kişilerden gelen, özellikle de istenmeyen mesajlarda gelen hiçbir şeyi cihazlarına indirmemeleri tavsiye ediliyor.