UPDATE 26 juli: reactie Telegram toegevoegd
ESET-onderzoekers hebben een zero-day exploit ontdekt die de Telegram-app voor Android aanvalt. De exploit werd te koop aangeboden voor een onbekende prijs in een ondergronds forumbericht van juni 2024. Door de exploit te misbruiken om een kwetsbaarheid te benutten die ESET “EvilVideo” heeft genoemd, konden aanvallers kwaadaardige Android-payloads delen via Telegram-kanalen, -groepen en -chats, en ze laten verschijnen als multimediabestanden.
“We hebben gezien dat de exploit te koop werd aangeboden op een ondergronds forum. In het bericht toont de verkoper screenshots en een video van het testen van de exploit in een openbaar Telegram-kanaal. We konden het betreffende kanaal identificeren, met de exploit nog steeds beschikbaar. Hierdoor konden we de payload bemachtigen en zelf testen,” legt ESET-onderzoeker Lukáš Štefanko, ontdekker van de Telegram-exploit, uit.
Uit de analyse van de exploit door ESET Research bleek dat deze werkt op Telegram-versies 10.14.4 en ouder. De reden hiervoor kan zijn dat de specifieke payload waarschijnlijk is gemaakt met behulp van de Telegram API. Deze stelt ontwikkelaars in staat speciaal gemaakte multimediabestanden programmatisch naar Telegram-chats of -kanalen te uploaden. De exploit lijkt te berusten op de mogelijkheid van de dreigingsactor om een payload te maken die een Android-app weergeeft als een multimedia-preview en niet als een binaire bijlage. Eenmaal gedeeld in de chat, verschijnt de kwaadaardige payload als een video van 30 seconden.
Automatische download
Standaard staat Telegram ingesteld om ontvangen mediabestanden automatisch te downloaden. Dit betekent dat gebruikers met deze optie ingeschakeld de kwaadaardige payload automatisch downloaden zodra ze het gesprek openen waarin deze is gedeeld. De optie voor automatisch downloaden kan handmatig worden uitgeschakeld — in dat geval kan de payload nog steeds worden gedownload door op de downloadknop van de gedeelde video te tikken.
Als de gebruiker de “video” probeert af te spelen, geeft Telegram een bericht weer dat het de video niet kan afspelen en suggereert het gebruik van een externe speler. Als de gebruiker echter op de knop ‘’Openen’’ in het weergegeven bericht tikt, wordt er gevraagd een kwaadaardige app te installeren die vermomd is als de eerder genoemde externe app.
Na de ontdekking van de EvilVideo-kwetsbaarheid op 26 juni 2024 volgde ESET het gecoördineerde openbaarmakingsbeleid en rapporteerde dit aan Telegram, maar ontving op dat moment geen reactie. De kwetsbaarheid werd opnieuw gerapporteerd op 4 juli, en die keer nam Telegram dezelfde dag contact op met ESET om te bevestigen dat hun team EvilVideo aan het onderzoeken was. Telegram loste het probleem vervolgens op door versie 10.14.5 uit te brengen op 11 juli. De kwetsbaarheid trof alle versies van Telegram voor Android tot en met 10.14.4, maar is dus verholpen vanaf versie 10.14.5.
Reactie Telegram
In een reactie laat Telegram weten dat er volgens het bedrijf geen sprake is van een kwetsbaarheid in Telegram. “Deze kwetsbaarheid is geen zwakte in Telegram zelf. Het zou vereist hebben dat gebruikers de video openden, de Android-veiligheidsinstellingen aanpasten en vervolgens handmatig een verdacht uitziende ‘media-app’ installeerden.” Dat Telegram het bestand automatisch downloadt naar het apparaat van een gebruiker is volgens het bedrijf niet relevant. “Het bestand op je apparaat hebben is niet schadelijk. Pas wanneer het daadwerkelijk wordt geopend en geïnstalleerd (waarbij een Android-beveiligingsfunctie wordt omzeild) kan het schade veroorzaken.”
Verder zegt het bedrijf dat het de melding van ESET pas op 5 juli heeft ontvangen en dat dit via een server-side update al op 9 juli werd verholpen.
