ESETは7月22日(現地時間)、「Cursed tapes: Exploiting the EvilVideo vulnerability on Telegram for Android」において、Android向けTelegramアプリにゼロデイの脆弱性が存在したと伝えた。この脆弱性を悪用されると、マルチメディアファイルを装って悪意のあるアプリを配布できるという。

  • Cursed tapes: Exploiting the EvilVideo vulnerability on Telegram for Android

    Cursed tapes: Exploiting the EvilVideo vulnerability on Telegram for Android

脆弱性の詳細

ESETが特定したTelegramの脆弱性は、「Ancryno」と名乗る脅威アクターがアンダーグラウンドフォーラムにて販売していたもの。この脆弱性はTelegram バージョン10.14.4およびこれ以前のバージョンで動作し、マルチメディアファイルとしてマルウェアなどを配布できるという。

  • 脅威アクターのフォーラムへの投稿 - 引用:ESET

    脅威アクターのフォーラムへの投稿 引用:ESET

この脆弱性はマルチメディアファイルのプレビュー表示に依存するとみられている。そのため、悪意のあるファイルは添付ファイルとしてではなく、チャットなどに30秒のプレビュー動画として表示される。Telegramのデフォルト設定では動画を自動的にダウンロードするため、ユーザーがチャットを開くだけで悪意のあるファイルは自動的にダウンロードされる。

悪意のあるプレビュー動画を再生しようとするとTelegramは再生に失敗し、代わりに外部アプリを使用して再生するか確認するメッセージを表示する。ユーザーが外部アプリの使用を許可すると、Telegramは外部アプリのインストールを要求する。

  • Telegramが不明な外部アプリのインストールを要求する画面 - 引用:ESET

    Telegramが不明な外部アプリのインストールを要求する画面 引用:ESET

この外部アプリがマルウェアを含むアプリとされる。ESETは脆弱性の再現に失敗したとして、これ以上の詳細な分析は公開していない。しかしながら、脅威アクターが配布したサンプルによりセキュリティ脆弱性の検証は可能だったと説明している。

対策

この脆弱性はAndroid向けTelegramのみ影響を受ける。Windowsなど他のプラットフォームのTelegramでは、悪意のあるファイルを最後まで動画ファイルとして扱うため影響を受けない。

ESETはこの脆弱性を「EvilVideo」と名付け、6月26日(現地時間)にTelegramに報告している。Telegramは報告を受けて脆弱性を修正したバージョン10.14.5を7月11日にリリースした。

  • 悪意のあるファイルをバイナリーファイルと正しく認識している様子 - 引用:ESET

    悪意のあるファイルをバイナリーファイルと正しく認識している様子 引用:ESET

Android向けTelegramアプリを利用しているユーザーには、脆弱性の影響を回避するため速やかに最新版にアップデートすることが推奨されている。また、ESETは本件調査の過程にて判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。