Telegram ၏ Zero-Day ကုဒ်သည် အဖျက်အမှောက် Android APK ဖိုင်များကို ဗီဒီယိုအဖြစ် ပေးပို့နေ
Android အတွက် Telegram တွင် ဖြစ်ပေါ်နေသည့် “EvilVideo” အမည်ရှိ Zero-Day လုံခြုံရေးအားနည်းချက်တစ်ခုသည် တိုက်ခိုက်သူများအား ဗီဒီယိုဖိုင်များ အယောင်ဆောင်ထားသည့် အန္တရာယ်ရှိသော Android APK Payload များကို ဖြန့်ဖြူးနိုင်စေရန် ခွင့်ပြုထားသည်။
“Ancryno” အမည်ရှိ ဆိုက်ဘာခြိမ်းခြောက်သူတစ်ဦးသည် ၆-၆-၂၀၂၄ ရက်နေ့တွင် ရုရှားစကားပြော XSS Hacking ဖိုရမ်၏ ပို့စ်တစ်ခု၌ Telegram ၏ Zero-day Exploit ကုဒ်ကို စတင်ရောင်းချခဲ့ပြီး လုံခြုံရေးအားနည်းချက်သည် Telegram v10.14.4 နှင့် ၎င်းအောက် Version များတွင် ဖြစ်ပေါ်နေကြောင်း ဖော်ပြထားသည်။
ESET ၏ သုတေသီများက Telegram ၏ Public Channel တစ်ခုတွင် အဖျက်အမှောက် Payload ဖိုင်ကို တိုက်ခိုက်သူအား လုပ်ဆောင်ခွင့်ပြုနိုင်သည့် (လုံခြုံရေးအားနည်းချက်ကို တိုက်ခိုက်ပြထားသည့်) သက်သေပြချက်တစ်ခုကို တွေ့ရှိပြီးနောက် အဆိုပါအားနည်းချက်ကို ရှာဖွေတွေ့ရှိခဲ့သည်။
ဆိုက်ဘာခြိမ်းခြောက်သူမှ Exploit ကုဒ်ကို Hacking ဖိုရမ်တစ်ခုတွင် ရောင်းချနေပုံ (Source: ESET)
ESET က Exploit ကုဒ်သည် Telegram v10.14.4 နှင့် ၎င်းအောက် Version များတွင် အလုပ်လုပ်ကြောင်း အတည်ပြုခဲ့ပြီး ၎င်းကို “EvilVideo” ဟု အမည်ပေးထားသည်။ ESET ၏ သုတေသီ Lukas Stefanko က အဆိုပါပြစ်ချက်ကို တာဝန်သိသိဖြင့် Telegram သို့ ဇွန် ၂၆ နှင့် နောက်ထပ် ဇူလိုင် ၄ တို့တွင် အသိပေးခဲ့သည်။
Telegram မှ ဇူလိုင် ၄ ရက်နေ့တွင် ၎င်းတို့အနေဖြင့် အစီရင်ခံစာကို စုံစမ်းနေကြောင်းနှင့် ဇူလိုင် ၁၁ တွင် ဖြန့်ချိသည့် Version 10.14.5 တွင် လုံခြုံရေးအားနည်းချက်ကို ဖာထေးပြီးပါကြောင်း တုံ့ပြန်ခဲ့သည်။
ဤအချက်က တိုက်ခိုက်သူများအနေဖြင့် Telegram ဘက်မှ ဖာထေးခြင်းမပြုမီတွင် Zero-Day အဖြစ် တိုက်ခိုက်ရန် အနည်းဆုံး ၅ ပတ်ခန့် အချိန်ရရှိခဲ့ကြောင်း ရည်ညွှန်းနေသည်။
တိုက်ခိုက်မှုများတွင် ပြစ်ချက်ကို အသုံးပြုခဲ့ခြင်း ရှိ၊ မရှိ ရှင်းရှင်းလင်းလင်း မသိရသော်လည်း ESET အနေဖြင့် Payload ဖိုင်များက အသုံးပြုခဲ့သည့် တိုက်ခိုက်သူများ၏ အမိန့်ပေးထိန်းချုပ်ရေးဆာဗာ (infinityhackscharan.ddns[.]net.) ကို မျှဝေခဲ့သည်။
BleepingComputer အနေဖြင့် Avast Antivirus သို့မဟုတ် xHamster Premium Mod အယောင်ဆောင်ထားသည့် VirusTotal Website ရှိ အဆိုပါ အမိန့်ပေးထိန်းချုပ်ရေးဆာဗာ အသုံးပြုထားသည့် အဖျက်အမှောက် APK ဖိုင် နှစ်ခုကို ရှာဖွေတွေ့ရှိခဲ့သည်။
Telegram အတွက် Zero-Day Exploit ကုဒ်
EvilVideo Zero-day ပြစ်ချက်သည် Android အတွက် Telegram တွင်သာ အလုပ်လုပ်ပြီး တိုက်ခိုက်သူများအား အထူးပြုလုပ်ထားသော APK ဖိုင်များကို ဖန်တီးရန် ခွင့်ပြုသည်။ Telegram ပေါ်ရှိ အခြားသော သုံးစွဲသူများထံ ပို့သော် ထိုဖိုင်များသည် Video ဖိုင်များအနေဖြင့် ပေါ်နေသည်။
Exploit ကုဒ်သည် စက္ကန့် ၃၀ စာ ဗီဒီယိုကို ပြသပုံရသည့် Message တစ်ခုကို အစီအစဉ်တကျ ဖန်တီးရန် Telegram API ကို အသုံးပြုကြောင်း ESET က ယုံကြည်သည်။
စက္ကန့် ၃၀ စာ ဗီဒီယိုအပိုင်းဟု ထင်မှတ်ဖွယ်ရှိသည့် APK ဖိုင် (Source: ESET)
Android ရှိ Telegram App ၏ Default Setting တွင် မီဒီယာဖိုင်များကို အလိုအလျောက် Download လုပ်သည့်အတွက် Channel များရှိ လူများသည် ပြောဆိုမှုကို ဖွင့်ကြည့်ကြလျှင် ၎င်းတို့၏ ဖုန်းများတွင် အဖျက်အမှောက်ကုဒ်ပါသော Payload ဖိုင်ကို လက်ခံရရှိမည်ဖြစ်သည်။
အလိုအလျောက် Download လုပ်ခြင်းကို ပိတ်ထားသူများအနေဖြင့် ဗီဒီယို၏ Preview ကို တစ်ချက်နှိပ်ရုံမျှဖြင့် ဖိုင်အား Download လုပ်မည်ဖြစ်သည်။
သုံးစွဲသူများသည် ဗီဒီယိုအတုကို ကြည့်ရှုရန် ကြိုးပမ်းသောအခါ Telegram က External Player အသုံးပြုရန် အကြံပြုပြီး ထိုအချက်က သုံးစွဲသူများအား “ဖွင့်ရန်” ခလုပ်ကို နှိပ်မိစေပြီး အဖျက်အမှောက် Payload ကို အလုပ်လုပ်စေပါသည်။
ပြင်ပဗီဒီယိုပလေယာ တစ်ခုကို ဖွင့်ရန် တောင်းဆိုမှု (Source: ESET)
ထို့နောက်တွင် နောက်ထပ်အဆင့်တစ်ခု လိုအပ်ပြီး တိုက်ခိုက်ခံရမည့်သူသည် Device Setting မှ “အမည်မသိ App များကို Install လုပ်ခြင်း” အား ခွင့်ပြုရမည်ဖြစ်သည်။ ထိုခွင့်ပြုမှုက ဖုန်းတွင် အဖျက်အမှောက် APK ဖိုင်ကို Install လုပ်ရန် ခွင့်ပြုမိစေသည်။
APK အား Install လုပ်ရန်အတွက် ခွင့်ပြုချက်တောင်းခံခြင်း အဆင့် (Source: ESET)
ဆိုက်ဘာခြိမ်းခြောက်သူက Exploit သည် တစ်ချက်နှိပ်ရုံသာဖြစ်ကြောင်း ပြောဆိုသော်လည်း တိုက်ခိုက်ခံရမည့်သူ၏ ဖုန်းတွင် အောင်မြင်စွာအလုပ်လုပ်နိုင်ရန် အကြိမ်များစွာ နှိပ်ရန်၊ အဆင့်များစွာနှင့် သတ်မှတ်ထားသော အရာများကို လုပ်ဆောင်ရန် လိုအပ်သည်။
ESET အနေဖြင့် Telegram ၏ Web Client နှင့် Telegram Desktop တို့တွင် Exploit ကုဒ်ကို စမ်းသပ်ခဲ့ပြီး Payload ကို MP4 ဗီဒီယိုဖိုင်အဖြစ်သာ ထင်မှတ်ယူသောကြောင့် ၎င်းကုဒ်သည် အလုပ်လုပ်ခြင်း မရှိပါ။
Telegram ၏ Version 10.14.5 တွင် ပြင်ဆင်ထားမှုကြောင့် ယခုအခါ Preview တွင် APK ဖိုင်အနေဖြင့်သာ ပြသပြီး လက်ခံရရှိသူများအနေဖြင့် ဗီဒီယိုဖိုင်အဖြစ်ပေါ်မည့် လှည့်စားမှုမျိုး ရှိနိုင်တော့မည် မဟုတ်ပါ။
အကယ်၍ သင့်အနေဖြင့် မကြားသေးမီက ဗီဒီယိုဖိုင်များ လက်ခံရရှိခဲ့ပြီး Telegram မှတစ်ဆင့် ပြင်ပ App တစ်ခုဖြင့် ဗီဒီယိုဖွင့်ရန် တောင်းဆိုခံခဲ့ရပါက မိုဘိုင်းလုံခြုံရေးဆော့ဖ်ဝဲလ် တစ်ခုခုဖြင့် ဖိုင်စနစ်အား စစ်ဆေးခြင်း ဆောင်ရွက်ရန်နှင့် သင့်ဖုန်းမှ Payload ဖိုင်များအား ဖယ်ရှားရန် ဖြစ်ပါသည်။
ပုံမှန်အားဖြင့် Telegram ဗီဒီယိုဖိုင်များသည် “/storage/emulated/0/Telegram/Telegram Video/” (internal storage) သို့မဟုတ် “/storage/<SD Card ID>/Telegram/Telegram Video/” (external storage) တို့တွင် သိမ်းဆည်းပါသည်။
ESET အနေဖြင့် Telegram Zero-day Exploit အလုပ်လုပ်ပုံကို သရုပ်ပြထားသည့် ဗီဒီယိုအား မျှဝေထားပြီး အောက်တွင် ကြည့်ရှုနိုင်ပါသည်-
https://www.youtube.com/watch?v=8mdW3MWoeFI
Telegram ၏ ပြောရေးဆိုခွင့်ရှိသူတစ်ဦးက BleepingComputer သို့ Exploit ကုဒ်နှင့်ပတ်သက်သည့် အောက်ပါအခြေအနေများအား ပေးပို့လာပါသည်-
ဤ Exploit သည် Telegram ရှိ လုံခြုံရေးအားနည်းချက်မဟုတ်ပါ။ ဗီဒီယိုကို ဖွင့်ရန် Android လုံခြုံရေး Setting များကို ချိန်ညှိပြီးနောက် သံသဖြစ်ဖွယ် “မီဒီယာ App” ကို အသုံးပြုသူများက ကိုယ်တိုင် ထည့်သွင်းရန် လိုအပ်ပါသည်။
မိမိတို့အနေဖြင့် ဤ Exploit နှင့်ပတ်သက်သည့် အစီရင်ခံစာကို ဇူလိုင် ၅ ရက်နေ့တွင် လက်ခံရရှိပြီး သုံးစွဲသူများအား Telegram ၏ ဗားရှင်းတိုင်းတွင် ကာကွယ်ရန်အတွက် ဆာဗာဘက်ခြမ်း၌ ပြင်ဆင်မှုများ လုပ်ဆောင်ပြီး ဖြစ်ပါသည်။