Una recente scoperta ha messo in luce una vulnerabilità critica nell’applicazione Telegram per Android: denominata EvilVideo, questa falla zero-day ha permesso agli attaccanti di camuffare file APK malevoli come innocui file video, aprendo potenzialmente la strada a pericolosi attacchi mirati.
La vulnerabilità, inizialmente messa in vendita lo scorso 6 giugno sul forum di hacking russo XSS da un attore malevolo noto come “Ancryno”, ha interessato le versioni di Telegram fino alla 10.14.4.
La sua scoperta è stata successivamente confermata dai ricercatori di ESET, che hanno analizzato una dimostrazione di Proof-of-concept condivisa su un canale Telegram pubblico.
Indice degli argomenti
EvilVideo: i dettagli tecnici
Il meccanismo di funzionamento di EvilVideo sui basa sullo sfruttamento dell’API di Telegram per creare messaggi che appaiono come video di 30 secondi.
Sfruttando le impostazioni predefinite dell’app, che prevedono il download automatico dei file multimediali, gli utenti ricevevano inconsapevolmente il payload malevolo sul proprio dispositivo semplicemente aprendo la conversazione.
Anche disabilitando il download automatico, un singolo tap sull’anteprima del video è sufficiente per avviare il download del file.
La criticità della falla di sicurezza è amplificata dal fatto che, al tentativo di riprodurre il falso video, Telegram suggeriva l’utilizzo di un player esterno.
Questo poteva indurre gli utenti meno attenti a premere il pulsante “Apri”, avviando così l’esecuzione del payload. Tuttavia, per il completamento dell’attacco, era necessario un ulteriore passaggio: l’abilitazione dell’installazione di app da fonti sconosciute nelle impostazioni del dispositivo.
Nonostante l’attore malevolo abbia definito l’exploit come “one-click”, la necessità di molteplici interazioni e impostazioni specifiche per l’esecuzione del payload ha notevolmente ridotto il rischio di un attacco riuscito.
È importante sottolineare che la vulnerabilità era limitata all’app Android di Telegram, non interessando il client web o la versione desktop.
Serve consapevolezza per difendersi da queste minacce
La scoperta di questa vulnerabilità critica in Telegram sottolinea l’importanza cruciale di mantenere aggiornate le applicazioni e di adottare un approccio cauto nell’interazione con file provenienti da fonti non verificate, anche su piattaforme considerate sicure come è, appunto, Telegram.
La vigilanza continua e l’educazione degli utenti rimangono strumenti fondamentali nella lotta contro le minacce informatiche in continua evoluzione.
Non è chiaro, al momento, se la vulnerabilità sia stata attivamente sfruttata in attacchi reali: i ricercatori ESET hanno responsabilmente divulgato la falla a Telegram il 26 giugno e nuovamente il 4 luglio 2024. La stessa Telegram è quindi intervenuta rilasciando prontamente la versione aggiornata dell’app il successivo 11 luglio. I criminali informatici hanno avuto, quindi, una finestra di circa cinque settimane per poter sfruttare la vulnerabilità.
Il consiglio è dunque quello di aggiornare quanto prima la versione di Telegram installata sul proprio dispositivo: la correzione implementata nella versione 10.14.5 visualizza ora correttamente l’anteprima del file APK, evitando di essere ingannati da quello che appare come un normale file multimediale.
Se, nel frattempo, abbiamo ricevuto file video su Telegram che richiedevano un’app esterna per la riproduzione, è importante eseguire una scansione del dispositivo utilizzando una suite di sicurezza mobile per localizzare e rimuovere eventuali payload malevoli.
