3 ماه پیش
کشف یک آسیب پذیری خطرناک در تلگرام ویدئوی شیطانی خبرآنلاین
تینا مزدکی:محققان ESET، نوعی اکسپلویت روز صفر (day-۰)، در نسخهی اندروید تلگرام کشف کردند که امکان ارسال فایل مخرب با پیشنمایش فایل ویدیویی را فراهم میکند. این اکسپلویت دریکی از انجمنهای هکری، باقیمتی نامشخص از ۶ ژوئن برای فروش گذاشتهشده بود. این اکسپلویت که توسط محققان «EvilVideo» نامگرفته است، این امکان را فراهم میکند که مهاجم بتواند پیلودهای مخرب ( بدافزار) اندرویدی را در کانالها، گروهها و چتها با پیشنمایش فایلهای رسانهای به اشتراک بگذارد.
محققان نمونهای از این اکسپلویت را به دست آوردند تا آن را آنالیز کنند؛ آنها درنهایت در ۲۹ ژوئن این مشکل را به تلگرام گزارش دادند و در ۱۱ جولای نیز تلگرام این آسیبپذیری را در نسخهی ۱۰.۱۴.۵ به بالا اصلاح کرد. بنابراین نسخههای اندرویدی ۱۰.۱۴.۴ و پایینتر، همچنان در برابر این بدافزار آسیبپذیرند.
چهطور این مشکل بزرگ را فهمیدند؟
محققان این اکسپلویت را بهعنوان تبلیغ دریکی از فرومهای هکری مشاهده کردند. در این پست، فروشنده تعدادی اسکرین شات و ویدئو از تست اکسپلویت در یک کانال عمومی تلگرام منتشر کرده بود. محققان این کانال را درحالیکه پیلود همچنان در دسترس بوده، شناسایی کردند، با این کار پیلود را به دست آوردند و توانستند آن را آنالیز کنند.
محققان با بررسی این پیلود، متوجه شدند که اکسپلویت روی نسخههای ۱۰.۱۴.۴ و قدیمیتر کار میکند. آنها حدس میزنند که بهاحتمالزیاد پیلود از طریق API تلگرام ساختهشده، چراکه به توسعهدهندگان این امکان را میدهد که فایلهای رسانهای خاصی را بهصورت برنامهنویسی شده در کانالها یا چتها آپلود کنند.
به نظر میرسد اکسپلویت به توانایی بازیگر تهدید برای ایجاد یک پیلود بستگی دارد که برنامهی اندرویدی را بهعنوان یک پیشنمایش چندرسانهای و نه بهعنوان یک پیوست باینری نمایش بدهد. این پیلود مخرب پس از به اشتراک گذاشتن در چت، بهصورت یک ویدیوی ۳۰ ثانیهای ظاهر میشود.
در حالت پیشفرض، فایلهای رسانهای ارسالشده در تلگرام، بهصورت خودکار دانلود میشوند. بنابراین اگر کاربری گزینهی دانلود خودکار را همچنان فعال داشته باشد، با ورود به چت، بهصورت خودکار پیلود مخرب را دانلود میکند. ویژگی دانلود خودکار را میتوان از طریق تنظیمات غیرفعال کرد، اما در چنین شرایطی هم باز کاربر با زدن دکمه دانلود در گوشهی چپ سمت بالا، میتواند این پیلود را دانلود کند.
اگر کاربر ویدئو را پخش کند، تلگرام پیامی مبنی بر عدم امکان پخش این ویدیو نمایش داده و از کاربر میخواهد که با پخشکنندههای خارجی (اپلیکیشنی غیر از تلگرام) ویدیو را پخش کند(شکل زیر). این هشدار اصلی تلگرام است که محققان در سورس کد برنامه تلگرام برای اندروید پیدا کردند که توسط پیلود مخرب ساخته و نمایش داده نمیشود.
هشدار تلگرام
اگر کاربر دکمه Open را در پیام نمایش دادهشده انتخاب کند، به او درخواست نصب برنامه مخرب بهعنوان پخشکننده خارجی داده میشود. همانطور که در تصویر زیر دیده میشود، قبل از نصب از کاربر درخواست میشود که نصب برنامههای ناشناخته تلگرام را فعال کند.
در مرحله بعد، برنامه مخرب موردنظر، که قبلاً بهصورت پیشنمایش یک فایل ویدیویی نمایش دادهشده بود، با پسوند apk دانلود شده و کاربر در حقیقت فایل apk را بهعنوان پخشکننده خارجی نصب میکند. جالب اینجاست که ماهیت آسیبپذیری باعث میشود که فایل apk به اشتراک گذاشتهشده، درست مانند یک ویدئو به نظر برسد. برنامهی مخرب اصلاً برای این منظور دستکاری نشده است؛ به همین دلیل محققان بر این باورند که بهاحتمالزیاد بازیگر تهدید از فرآیند آپلود سو استفاده کرده است. محققان اعلام کردند که نتوانستند خود اکسپلویت را دوباره بازتولید کنند و فقط نمونهی به اشتراک گذاشته توسط فروشنده را بررسی و تائید کردند.
پس نسخهی وب و دسکتاپ چه میشود؟
بااینکه پیلود ارائهشده فقط برای نسخهی اندرویدی منتشرشده بود، اما محققان آن را در نسخه وب و تلگرام ویندوز نیز اجرا کردند و همانطور که پیشبینی میشد این اکسپلویت بر این نسخهها اجرا نشد.
در نسخه وب، بعد از پخش ویدئو پیامی مبنی بر باز کردن ویدئو در برنامههای دسکتاپ داده شد؛ در حالی که فایل درواقع یک باینری اجرایی اندروید (APK) بود، حتی اگر آن را بهصورت دستی هم دانلود میکردند، بانام و پسوند Teating.mp۴ ذخیره میشد. خوشبختانه این فایل نوعی فایل MP۴ شناخته شد و جلوی اکسپلویت نیز گرفته شد (برای مخرب بودن در این نسخه باید پسوند فایل apk باشد).
تقریباً در مورد نسخه دسکتاپ نیز همین اتفاق رخداده است. فایل دانلود شده بانام و پسوند Teating.apk.mp۴ ذخیره شد. نکتهای که در این مرحله حائز اهمیت بود، این است که حتی اگر مهاجم از بدافزار ویندوزی (مثلاً با پسوند exe) استفاده کند، تلگرام آن را نوعی فایل رسانهای شناسایی میکند و جلوی اکسپلویت را میگیرد.
چه کسی پشت این ماجرا است؟
محققان اعلام کردند که اطلاعات زیادی در خصوص بازیگر تهدید ندارند، اما توانستند بر اساس اکانت تلگرامی که پستها را منتشر کرده است، سرویس مشکوک دیگری را در ارتباط با آنها پیدا کنند. این بازیگر تهدید در ۱۱ ژانویه پست دیگری برای سرویس Android cryptor-as-a-service منتشر کرد که در آن ادعا کرده است، بدافزارهای اندرویدی را FUD میکند.
محققان پس از کشف این آسیبپذیری آن را در ۲۶ ژوئن به تلگرام گزارش دادند اما تلگرام پاسخی به آنها نداد. در تاریخ ۴ جولای بار دیگر این گزارش به تلگرام داده شد و این بار تلگرام پاسخ آنها را داد و درنهایت در ۱۱ جولای با انتشار نسخهی ۱۰.۱۴.۵ این آسیبپذیری را اصلاح کرد. بنابراین اگر تلگرام نسخهی اندرویدی را به نسخهی ۱۰.۱۴.۵ یا بالاتر بروز کنید، فایل ارسالی دیگر بهصورت پیشنمایش یک فایل رسانهای نمایش داده نمیشود.
منبع:welivesecurity
۳۲۳
#اخبار_دانش منبع: خبرآنلاین
بیشتر...
تبلیغات
تبلیغات
مطالب مرتبط
شیائومی پس از اعلام تاریخ معرفی شیائومی ۱۵، نمونه تصاویر رسمی از دوربین شیائومی ۱۵ پرو را منتشر کرد که احتمالاً حیرتزدهتان میکنند.
3 روز پیش
یک پژوهش بینالمللی نشان میدهد که اسفنج ساختهشده از اکسید گرافین و کیتوسان میتواند در استخراج طلا از زبالههای الکترونیکی ۱۰ برابر موثرتر باشد.
3 روز پیش
رولزرویس برای ادای دین به شخصیت شرور جیمز باند، فانتوم گلدفینگر را معرفی کرد.
3 روز پیش
با نامگذاری این گونهها، این امکان برای محققان دیگر نیز فراهمشده که بتوانند مطالعات دیگری را پیش ببرند؛ آنها حالا میتوانند زنبورهایی که تا پیشازاین، ناشناخته بودند را شناسایی کنند
3 روز پیش
در شرایطی که دو فوق ستاره فوتبال جهان به ثبت هزار گل زده نزدیکاند، هوش مصنوعی پاسخ داد کدامیک از این دو زودتر به این مهم دست خواهد یافت.
3 روز پیش
اپل قرار است بهزودی قابلیتی را به ساعتهای هوشمند اپل واچ اضافه کنند که برای کاربرانی که احتمال ابتلا به دیابت دارند، حیاتی خواهد بود.
3 روز پیش
شرکت نوکیا کورپوریشن میگوید آتیلا همراه آیهان مجوزی برای تولید گوشی با برند نوکیا ندارد.
3 روز پیش
نتایج تحقیقات پژوهشگران آلمانی درباره قارچهای سمی نشان داده است که سم در برخی از این دسته قارچها به صورت یک مولکول پیشدرآمد و نهفته است و در زمان بریده شدن یا خوردن شدن به عنوان سازوکاری محافظتی، مولکول سمی در آنها فعال میشود.
3 روز پیش
به نظر میرسد گوگل در حال تست قابلیتی مشابه با Live Activities آیفون برای اندروید ۱۶ است. این قابلیت که با نام «Rich Ongoing Notifications» شناخته میشود در نسخه بتا اندروید ۱۵ دیده شده است، اما احتمالاً سال آینده و در اندروید ۱۶ شاهد رونمایی از آن باشیم.
3 روز پیش
بیشتر...