2024-08-16 09:00:31
ESET révèle EvilVideo, un exploit zero-day dédié à l’application Télégramme pour Android qui permet aux attaquants d’envoyer et de partager des charges utiles qui apparaissent sous forme de fichiers multimédias. La vulnérabilité est apparue en vente à un prix non précisé sur un forum clandestin en juin 2024.
Lukáš Štefanko, chercheur d’ESET qui a découvert l’exploit Telegram
Nous avons repéré l’exploit annoncé sur un forum underground. Ici, le vendeur a montré des captures d’écran et une vidéo testant l’exploit sur une chaîne publique Telegram. Nous avons réussi à identifier la chaîne en question, avec l’exploit toujours disponible. Cela nous a permis de le tester directement.
Fichiers multimédia créés spécifiquement
L’analyse de l’exploit a révélé que le code fonctionne sur les versions 10.14.4 et antérieures de Telegram. Cet exploit semble exploiter leAPI de Telegram, qui permet aux développeurs de télécharger des fichiers multimédias spécialement créés dans des discussions ou des chaînes. L’exploit profite de la possibilité d’afficher une charge utile Android sous forme d’aperçu multimédia, plutôt que sous forme de pièce jointe binaire. Lorsqu’elle est partagée dans le chat, la charge utile malveillante apparaît sous la forme d’une vidéo de 30 secondes.
La vulnérabilité Zero Day d’EvilVideo
Par défaut, Telegram télécharge automatiquement les fichiers multimédias reçus. Les utilisateurs avec cette option activée téléchargeront automatiquement la charge utile malveillante une fois qu’ils ouvriront la conversation dans laquelle elle a été partagée. L’option de téléchargement automatique peut être désactivée manuellement. Dans ce cas, la charge utile peut toujours être téléchargée en appuyant sur le bouton de téléchargement de la vidéo partagée. Lorsque l’utilisateur essaie de lire la « vidéo », Telegram affiche un message d’erreur indiquant que la vidéo ne peut pas être lue et suggère d’utiliser un lecteur externe. Cependant, si l’utilisateur appuie sur le bouton Ouvrir dans le message affiché, il sera invité à installer une application malveillante déguisée en application externe.
Enquêtes internes pour arrêter l’exploit
Après avoir découvert la vulnérabilité EvilVideo le 26 juin 2024, ESET a suivi la politique de divulgation l’a coordonné et l’a signalé à Telegram, mais n’a initialement reçu aucune réponse. ESET a de nouveau déposé le rapport le 4 juillet et cette fois, Telegram a confirmé que des enquêtes internes sur EvilVideo étaient en cours. Le problème a ensuite été résolu avec la distribution de la version 10.14.5, sortie le 11 juillet. La vulnérabilité affecte toutes les versions de Telegram pour Android jusqu’à 10.14.4, mais a été corrigée à partir de la version 10.14.5.
#vulnérabilité #Day #dEvilVideo #dans #Telegram #pour #Android
1723909978
