Telegram 高危漏洞：伪装成视频的安卓应用如何被自动安装

最近，安全研究人员披露了 Telegram 安卓版的一个高危漏洞。这个漏洞被黑客利用了至少五周，才在七月中旬得到修复。它再次提醒我们，即时通讯工具中一些看似便利的功能，可能暗藏风险。

漏洞的基本原理

我的理解是，这个漏洞的核心在于“伪装”和“自动执行”。攻击者可以制作一个特制的安卓应用安装包（APK文件），然后通过 Telegram 的聊天功能发送出去。关键在于，这个 APK 文件在 Telegram 里会被显示为一个“嵌入式视频”。如果用户开启了“自动下载媒体文件”功能，这个伪装成视频的安装包就会被悄悄下载到手机上。

漏洞的触发条件

要让这个漏洞真正产生危害，需要满足几个条件。首先，用户必须开启了自动下载媒体文件的功能，这是漏洞利用链条的起点。其次，当用户尝试播放这个“视频”时，系统会弹出一个“打开”按钮。点击后，手机会开始安装这个 APK 文件。但这里还有一个关键前提：用户必须在手机设置中允许“安装未知来源的应用程序”。如果这项设置是关闭的，系统会弹出明确提示，告知用户正在尝试打开 APK 文件，从而中断攻击。

漏洞的发现与修复时间线

这个漏洞的公开轨迹始于一个俄语黑客论坛。6月6日，一名黑客开始在网上兜售这个漏洞。安全公司 ESET 的研究人员发现后进行了验证，确认其真实有效，并于6月26日向 Telegram 官方报告。Telegram 在7月4日回复称正在调查，最终在7月11日发布的版本中修复了该漏洞。这意味着，从黑客公开叫卖到最终修复，这个漏洞至少暴露了超过一个月的时间。

与以往漏洞的相似之处

这并非 Telegram 第一次出现此类问题。就在今年四月，其桌面版也曾曝出高危漏洞，攻击方式同样是发送特制文件并利用自动下载功能。研究人员指出，这两个漏洞“本质上类似”，都是利用了 Telegram 在处理某些文件时的缺陷，将恶意文件伪装成无害的媒体格式。

给用户的建议

基于已知信息，最直接的防范措施就是关闭 Telegram 中的“自动下载媒体文件”功能。这样可以切断此类攻击最关键的自动下载环节。同时，保持手机系统设置中“禁止安装未知来源应用”的选项处于开启状态，也能在最后一步有效拦截恶意安装。

安全总是便利与风险之间的平衡。这次事件提醒我们，即使是广泛使用的应用，其默认设置也可能存在隐患。及时更新应用到最新版本，并审慎管理应用权限，是保护个人数字安全的基础做法。