Nel dinamico mondo della sicurezza informatica, le vulnerabilità zero-day rappresentano una delle sfide più insidiose e allarmanti. Recentemente, un bug di questo tipo ha colpito Telegram per Android, causando non pochi problemi agli utenti e mettendo in luce la pericolosità degli exploit informatici.
La vulnerabilità, soprannominata “EvilVideo”, ha permesso a hacker di inviare file APK dannosi camuffati da video, e ha sollevato serie preoccupazioni sulla sicurezza delle applicazioni di messaggistica. Il problema è emerso il 6 giugno 2024, quando un hacker conosciuto come “Ancryno” ha messo in vendita la vulnerabilità su un forum di hacking russo. La falla colpiva Telegram nelle versioni v10.14.4 e precedenti, permettendo agli aggressori di sfruttare un difetto per inviare file APK malevoli sotto forma di video.
I ricercatori di ESET hanno scoperto la vulnerabilità grazie a una dimostrazione pubblica di un Proof of Concept (PoC), che ha confermato l’esistenza e l’efficacia dell’exploit. L’analisi ha rivelato che l’exploit utilizzava l’API di Telegram per creare un messaggio che sembrava contenere un video di 30 secondi. Questa rappresentazione ingannevole era sufficiente per attivare il download automatico dei file su Telegram per Android, in quanto l’app scarica automaticamente i media per impostazione predefinita.
Anche gli utenti che avevano disabilitato il download automatico non erano al sicuro: un semplice clic sulla preview del video era sufficiente per avviare il download del file malevolo. Telegram è stata informata della vulnerabilità il 26 giugno, e ha ricevuto una seconda segnalazione il 4 luglio.
L’azienda ha reagito prontamente, rilasciando una patch il giorno 11 luglio che ha corretto la falla. Nella versione 10.14.5, Telegram ha aggiornato la gestione dei file, impedendo che gli APK fossero mascherati da video e rendendoli visibili nella preview. Questa modifica ha permesso agli utenti di identificare correttamente i file APK e di evitare di eseguirli involontariamente. Per proteggersi da possibili exploit, gli utenti di Telegram sono invitati a eseguire scansioni approfondite dei propri dispositivi.
È consigliabile verificare la memoria interna e quella esterna del telefono per individuare eventuali file sospetti. I file video di Telegram sono tipicamente memorizzati in percorsi come `/storage/emulated/0/Telegram/Telegram Video/` per la memoria interna e `/storage//Telegram/Telegram Video/` per la memoria esterna. Utilizzare una suite di sicurezza mobile per eseguire questa verifica può aiutare a identificare e rimuovere eventuali payload dannosi.