ESET Forscher entdeckten einen Zero-Day-Exploit, der auf Telegram für Android abzielt und in einem Underground-Forumspost vom 6. Juni 2024 für einen nicht näher genannten Preis zum Verkauf angeboten wurde. Durch die Ausnutzung einer Schwachstelle, die wir EvilVideo genannt haben, können Angreifer bösartige Android-Software über Telegram-Kanäle, -Gruppen und -Chats teilen und als Multimediadateien tarnen.
Wir konnten ein Beispiel des Exploits ausfindig machen. Hiermit war es uns möglich, weitere Analysen anzustellen und die Schwachstelle am 26. Juni 2024 an Telegram zu melden. Am 11. Juli wurde ein Update veröffentlicht, das die Schwachstelle in den Telegram-Versionen 10.14.5 und neuer behebt.
Abbildung 1 ist eine Videodemonstration und Erklärung der EvilVideo-Schwachstelle.
Abbildung 1. Erläuterung der EvilVideo-Sicherheitslücke
Entdeckung
Wir fanden das Exploit, das in einem Untergrundforum zum Verkauf angeboten wurde, siehe Abbildung 2.
In dem Beitrag zeigt der Verkäufer Screenshots und ein Video vom Testen des Exploits in einem öffentlichen Telegram-Kanal. Es gelang uns, den betreffenden Kanal zu identifizieren, in dem der Exploit noch verfügbar war. So konnten wir die Nutzlast in die Hände bekommen und sie selbst testen.
Eine detaillierte Analyse finden Sie im englischen Blogpost unter: