钻研职员宣告Telegram已经建复的下危倾向 该倾向吐露至少五周才被建复 – 蓝面网

#牢靠资讯 钻研职员宣告 Telegram 已经建复的钻研职员至少周下危牢靠倾向，该倾向吐露逾越一个月才被残缺建复。宣告向该倾向仅存正在于 Telegram for Android 版，已经操做倾向报复侵略者可能将恶意 APK 文件捏组成视频，建复Telegram 会自动下载并魔难魔难调用。危倾此倾向已经正在 7 月 11 日宣告的吐露 10.14.5 版中建复。审查齐文：https://ourl.co/105083

4 月份时便有新闻传出坐刻通讯操做 Telegram 桌里版存正不才危牢靠倾向，被建报复侵略者惟独供背用户收支特制的复蓝媒体文件即可正在无需用户交互的情景下实现熏染，该倾向依靠 Telegram 默认开启的面网自动下载媒体文件功能。

今日诰日驰誉牢靠硬件斥天商 ESET 的钻研职员至少周钻研职员吐露 Telegram 此外一个下危牢靠倾向，该倾向至少正在 6 月 6 日便被乌客收现并操做，宣告向该直到 7 月 11 日 Telegram 正在 v10.14.5 版中才实现建复。已经

Telegram 的整日倾向：

最后 ESET 钻研职员正在俄语 XSS 乌客论坛中收现名为 Ancryno 的乌客正在兜销那个倾向，ESET 钻研 PoC 后确认该倾向是危倾真正在实用的，倾向仅开用于 Telegram for Android 版。吐露

乌客可能竖坐特制的 APK 文件并将其收支给 Telegram 用户，该文件被会隐现为嵌进式视频，假如 Telegram 可能自动下载媒体文件功能则会被自动下载。

当用户魔难魔难播放该视频时 Android 系统会弹出挨开按钮，面击挨开时便会安拆那个恶意的 APK 文件，借有个前置条件是用户必需正在配置中已经开启安拆已经知去历的操做法式，可则系统会弹出揭示睹告用户正正在魔难魔难挨开 APK 文件。

倾向至少吐露五周才被建复：

尽管 ESET 的钻研职员正在 6 月 26 日便背 Telegram 吐露了该倾向，不中倾向的建复时候借玄色常少，7 月 4 日 Telegram 给 ESET 回问称正正在查问制访，到 7 月 11 日宣告新版本实现建复。

从乌客收帖的 6 月 6 日匹里劈头到 7 月 11 日，逾越一个月的时候该倾向皆可能被操做，Telegram 并已经吐露是不是有乌客自动操做此倾向睁开报复侵略。

该倾向素量上与 Telegram 桌里版隐现的倾向远似，皆是操做 Telegram API 的一些缺陷将特制文件捏制为媒体，何等便可能正在 Telegram 自动下载。

正在那边借是继绝建议 Telegram 用户启闭自动媒体文件自动下载功能，停止报复侵略者操做远似的倾向建议针对于性的报复侵略。