通过电报发送的贴纸可能暴露了你的秘密谈话

网络安全研究人员周一披露了Telegram messaging应用程序中一个现已修补的漏洞的细节，该漏洞可能会将用户的秘密消息、照片和视频暴露给远程恶意参与者。

这些问题是总部位于意大利的Shield在iOS、Android和macOS版本的应用程序中发现的。在负责任的披露之后，Telegram在2020年9月30日和10月2日的一系列补丁中对他们进行了回复。

这些缺陷源于秘密聊天功能的运行方式以及应用程序对动画贴纸的处理，从而允许攻击者向毫无戒备的用户发送格式错误的贴纸，并通过经典和秘密聊天获取与电报联系人交换的消息、照片和视频。

需要注意的一点是，利用野生环境中的缺陷可能不是一件小事，因为它需要将上述弱点与至少一个额外的漏洞联系起来，才能绕过现代设备中的安全防御。这听起来可能令人望而却步，但恰恰相反，网络犯罪团伙和民族国家组织都能很好地接触到它们。

Shield表示，为了给用户足够的时间更新设备，他们选择至少等待90天，然后再公开漏洞。

研究人员说：“定期的安全审查在软件开发中至关重要，尤其是随着新功能的引入，比如动画贴纸。”。“我们报告的缺陷可能被用于攻击，以获取政治对手、记者或异见人士的设备。”

值得注意的是，这是Telegram的秘密聊天功能中发现的第二个漏洞，上周有报道称，Telegram的macOS应用程序中存在一个破坏隐私的漏洞，使得人们能够在秘密聊天消失很久之后访问自毁的音频和视频消息。

这已经不是第一次通过信息服务发送的图像和多媒体文件被武器化，以进行邪恶的攻击。

2017年3月，Check Point Research的研究人员发现了一种针对Telegram和WhatsApp网络版本的新攻击形式，该攻击包括向用户发送看似无害的图像文件，其中包含恶意代码，一旦打开，可能会让对手完全接管任何浏览器上的用户帐户，并访问受害者的个人和团体对话、照片、视频和联系人列表。