背景图片取自／Jr Korpa on Unsplash

资安业者ESET本周揭露了Android版Telegram的一个安全漏洞，允许骇客于Telegram频道、群组或聊天室中分享恶意的APK文件，并将它伪装成影音档，以吸引使用者播放，进而安装其它恶意程序。

Telegram的预设会自动下载多媒体文件，儘管骇客分享的不是多媒体文件，而是一个二进位的APK档，却被Telegram视为影片档而自动下载，但它的副档名却是.apk。

在Android版Telegram用户收到此一看起来像是影片的文件后，由于它并非影片，因此无法播放，Telegram会建议用户使用其它的播放程序来播放，当使用者选择使用其它程序时，所安装的就是骇客所提供的恶意程序。

图片来源／ESET

研究人员认为，骇客所製作的酬载应该是利用Telegram API打造的，猜测漏洞存在于Telegram允许骇客将二进位应用程序显示为影片，以欺骗使用者。

ESET是在6月26日发现骇客正于地下论坛兜售该漏洞，它影响Android for Telegram 10.14.4及更早之前的版本，并通知Telegram，Telegram则在7月11日释出10.14.5版进行修补。

图片来源／ESET

此外，此一漏洞仅波及Android版Telegram，不管是透过Web版或Windows版的Telegram接收该伪装成影片的APK档时，该文件的副档名皆会被Telegram转为.mp4，企图播放时即会出现错误，因而逃过一劫。