עדכון: נוספה תגובת טלגרם בסוף הכתבה – שימו לב כי החברה מציינת כי עדכון המגן על המשתמשים באפליקציה הגיע גם מצד השרת, ולא רק דרך עדכון האפליקציה דרך חנויות האפליקציות.
חוקרי האבטחה של חברת ESET הסלובקית פרסמו כי אותרה חולשת יום 0 באפליקציית הטלגרם (Telegram) הפופולרית, חולשה שזכתה לשם EvilVideo ואפשרה לגורמים זדוניים לנסות ולהתקין אפליקציות זדוניות על מכשירים של משתמשי אנדרואיד במסווה של סרטוני וידאו. החולשה משפיעה על אפליקציית הטלגרם בגרסה 10.14.4 ומטה, עדכנו עכשיו!
אפליקציית טלגרם נחשבת לאחת מפלטפורמות המסרים הפופולריות בעולם, כאשר האפליקציה חצתה רק השבוע את רף ה-950 מיליון משתמשים חודשיים. מלבד השימוש בה כאפליקציית מסרים רגילים, הפלטפורמה של טלגרם משמשת גם להפצת תכנים שונים כמו אפליקציות, סדרות וסרטים, דבר ההופך את חולשת ה-EvilVideo החדשה לקריטית במיוחד.
חוקרי ESET פרסמו כי הם איתרו ב-26 ביוני בפורום האקינג מחתרתי משתמש בשם Ancryno, שהציע למכשיר פתרון להפצה והתקנה של קבצי APK, הם קבצי התקנה של אפליקציות אנדרואיד, במסווה של סרטוני וידאו בפורמט MP4 ועקפו בעזרתו את האבטחה במכשיר.
את קבצי הוידאו מורידה אפליקציית טלגרם בתור ברירת מחדל למכשיר המשתמש או בלחיצה בודדת במידה והוא ביטל את אפשרות ההורדה האוטומטית בהגדרות (מומלץ).
במקרה זה, משתמשי אנדרואיד שהורידו את קובץ המדיה הזדוני וניסו לפתוח אותו קיבלו הודעה כי טלגרם לא הצליחה לפתוח את קובץ ה"וידאו" באמצעות נגן המדיה המובנה באפליקציה והציגה בפניהם בקשה לפתוח אותו באמצעות נגן מדיה חיצוני, פעולה שהובילה לניסיון התקנה של האפליקציה הזדונית במכשיר המשתמש.
בניגוד להצהרה של Ancryno, לא מדובר בחולשת "אפס קליקים" אמיתית, והתקנת ה-APK הזדוני במכשיר הייתה אפשרית רק במידה שהמשתמש אישר התקנת קבצי APK ממקורות לא ידועים, דבר אותו מאפשרים לא מעט משתמשים במידה שהם מעוניינים להתקין אפליקציות שלא מהחנות הרשמית של גוגל.
חוקרי ESET עדכנו את טלגרם על חולשת ה-EvilVideo שאיתרו והחברה שחררה עדכון לאפליקציה הכולל תיקון לחולשה ב-11 ביולי.
הדגמה והסבר על חולשת ה-EvilVideo:
תגובת טלגרם
לאחר מועד פרסום הכתבה התקבלה תגובה רשמית מטעם טלגרם בנושא, החוזרת על הדברים שצוינו בכתבה באשר לדרך המפותלת בה יש לנקוט על מנת שחולשת האבטחה תגרום נזק למשתמשים.
יחד עם זאת, בטלגרם מדגישים בפנינו כי עדכון בנושא שביצעה החברה מצד השרת מאפשר להשתמש באפליקציה בכל הגרסאות שלה, ולא רק בגרסאות שיצאו אחרי 10.14.5, באופן בטוח.
להלן דברי התגובה (בתרגום חופשי לעברית):
האקספלויט המדובר הוא לא חולשת אבטחה בטלגרם. הוא דרש ממשתמשים לפתוח את הוידאו, להתאים את הגדרות האבטחה בתוך [מערכת ההפעלה] אנדרואיד ואז להתקין את אפליקציית המדיה החשודה.
קיבלנו את הדיווח בנושא זה ב-5 ביולי ותיקון צד-שרת הושק כבר ב-9 ביולי על מנת להגן על המשתמשים בכל הגרסאות של טלגרם.
עוקבים? כל החדשות מגאדג'טי
חלק מהפוסטים באתר כוללים קישורי תכניות שותפים, עבורם נקבל עמלה עם ביצוע רכישה בפועל של מוצרים. עמלה זו לא מייקרת את העלות הסופית של המוצרים עבורכם.
הסקירות והתכנים המופיעים באתר מהווים המלצה בלבד, וכך יש להתייחס אליהם. כל המחירים המופיעים באתר נכונים ליום הפרסום בלבד והאחריות לקניית מוצר או שירות כזה או אחר מוטלת עליך בלבד – השימוש באתר בהתאם לתנאי השימוש והפרטיות.