研究人员发布Telegram已修正的高危缝隙 该缝隙露出至少五周才被修正

4 月份时就有音讯传出即时通讯使用 Telegram 桌面版存在高危安全缝隙，进犯者只需要向用户发送特制的媒体文件即可在无需用户交互的情况下完结感染，该缝隙依靠 Telegram 默许敞开的主动下载媒体文件功用。

今日闻名安全软件开发商 ESET 的研讨人员发表 Telegram 另一个高危安全缝隙，该缝隙至少在 6 月 6 日就被黑客发现并使用，直到 7 月 11 日 Telegram 在 v10.14.5 版中才完结修正。

Telegram 的零日缝隙：

开端 ESET 研讨人员在俄语 XSS 黑客论坛中发现名为 Ancryno 的黑客在兜销这个缝隙，ESET 研讨 PoC 后承认该缝隙是真实有效的，缝隙仅适用于 Telegram for Android 版。

黑客能够创立特制的 APK 文件并将其发送给 Telegram 用户，该文件被会显现为嵌入式视频，假如 Telegram 能够主动下载媒体文件功用则会被主动下载。

当用户测验播映该视频时 Android 体系会弹出翻开按钮，点击翻开时就会装置这个歹意的 APK 文件，还有个前置条件是用户必须在设置中现已敞开装置不知道来历的使用程序，不然体系会弹出提示告知用户正在测验翻开 APK 文件。

缝隙至少露出五周才被修正：

虽然 ESET 的研讨人员在 6 月 26 日就向 Telegram 发表了该缝隙，不过缝隙的修正时刻仍是十分长，7 月 4 日 Telegram 给 ESET 回复称正在查询，到 7 月 11 日发布新版本完结修正。

从黑客发帖的 6 月 6 日开端到 7 月 11 日，超越一个月的时刻该缝隙都能够被使用，Telegram 并未泄漏是否有黑客活跃使用此缝隙打开进犯。

该缝隙本质上与 Telegram 桌面版呈现的缝隙相似，都是使用 Telegram API 的一些缺点将特制文件假造为媒体，这样就能够在 Telegram 主动下载。

在这里仍是持续主张 Telegram 用户封闭主动媒体文件主动下载功用，防止进犯者使用相似的缝隙建议针对性的进犯。