【零点击威胁】你的手机可能因一张动图被“夺权”：邪恶的贴纸

安全研究人员披露了即时通讯应用Telegram中的一个高危漏洞。该漏洞允许攻击者通过发送特制的动画贴纸，在无需目标用户任何交互的“零点击”条件下，远程执行代码并完全控制受害者的设备。该漏洞已被官方修复，用户需立即更新应用。

Telegram 上在 Android 和 Linux 上都存在一个关键的零点击漏洞，允许通过简单的动画贴纸实现远程代码执行（RCE）。重要的是，无需用户互动。

研究人员指出，他们识别出了这一特定RCE漏洞，并给出了9.8的CVSS评分，攻击向量相当令人惊讶且简单。用户通过动画贴纸被针对，这些专门制作的媒体文件一旦发送，会自动触发恶意代码的执行。

漏洞详情

该漏洞被命名为“邪恶贴纸”（Evil Sticker）漏洞。其关键特征在于攻击的“零点击”属性。这意味着攻击者只需向目标用户发送一条包含特制动画贴纸（如.webp格式）的消息，无论用户是否查看或点击该贴纸，漏洞都可能被触发并在后台执行恶意代码，实现完整的设备接管。

漏洞机制：漏洞根源在于Telegram处理动画贴纸文件的代码中，存在一个内存损坏漏洞（如堆缓冲区溢出）。当应用解析特制的恶意贴纸文件时，攻击者可以精心构造数据，导致应用崩溃并执行其预设的恶意指令，从而在设备上获得与Telegram应用相同的运行权限。结合其他提权漏洞，攻击者可最终获得设备的根权限或系统级控制权。

影响范围：

• 主要影响平台：此漏洞对安卓设备威胁最大，因为攻击可导致完全控制。iOS设备由于系统沙盒机制严格，影响相对受限，但仍可能导致敏感数据泄露。

• 影响版本：在修复前的最新版本均受影响。

• 攻击门槛：攻击无需用户点击或查看消息，隐蔽性极强。理论上，只要用户处于攻击者的联系人列表中（或处于公开群组），攻击就可能发生。

修复与应对措施

Telegram官方在接到安全研究员报告后，已在新版本中修复了此漏洞。

用户应对建议：

• 立即更新：所有Telegram用户应立即前往官方应用商店（Google Play, Apple App Store等）将应用更新至最新版本。这是最根本的防护措施。

• 保持应用自动更新：在设备设置中开启应用自动更新功能，确保及时获取安全补丁。

• 警惕陌生消息：尽管此漏洞已被修复，但保持对来源不明的消息、文件（尤其是媒体文件）的警惕，始终是良好的安全习惯。

背景与行业警示

• “零点击”攻击的威胁升级：此类漏洞是网络安全领域的“王冠明珠”，因其完全无需社会工程学诱导，防御极为困难。它们常被用于针对记者、活动人士等高价值目标的精准监控。

• 复杂功能引入新风险：Telegram的动画贴纸等功能广受欢迎，但处理这些复杂媒体文件的代码库也扩大了攻击面。此次事件再次表明，任何新增的功能点都可能成为潜在的安全突破口。

• 供应链与依赖风险：此漏洞可能源于Telegram所使用的第三方媒体处理库。这凸显了现代软件对复杂第三方组件的依赖所带来的供应链安全风险。

此次Telegram的“邪恶贴纸”漏洞是“零点击”攻击的典型例证，再次为亿万用户和整个行业敲响了警钟。它强调了即时通讯应用作为关键基础设施所面临的严峻安全挑战，以及保持应用实时更新的绝对必要性。对于普通用户而言，及时更新软件永远是成本最低、效果最好的安全防护手段。

来源：安情视界——洞见未来，智掌先机，持续追踪全球安全动态，精准解读政策与事件，深度预测研判趋势，护航企业全球化征程。