Có thể có một cuộc tấn công nhắm mục tiêu sử dụng RCE 1-click trong Telegram Desktop. Bối cảnh: Tôi là mục tiêu của các cuộc tấn công liên tục và sử dụng một môi trường cách ly (một máy ảo) để chạy các phiên bản desktop của Telegram. Gần đây, tôi đã gặp phải hành vi cho thấy có thể có một lỗ hổng RCE 1-click. Dòng thời gian sự kiện: 1. Tương tác ban đầu: • Một liên hệ đã gửi cho tôi một tin nhắn trên Telegram. • Trong thanh bên của Telegram (ở bên phải), tôi thấy rằng người dùng có kênh riêng của họ. • Tôi đã vào kênh đó — mọi thứ hiển thị bình thường, Telegram hoạt động như mong đợi. 2. Tương tác tiếp theo: • Một thời gian sau, cùng người dùng đó đã nhắn tin cho tôi một lần nữa. • Tôi nhận thấy rằng trong thanh bên, thay vì tên kênh trước đó, giờ đây có nhãn "kênh đã bị xóa." • Điều này đã thu hút sự chú ý của tôi đến mức tôi đã nhấp vào dòng đó (chỉ để kiểm tra xem kênh có thực sự bị xóa không). • Vào thời điểm đó, Telegram Desktop đột ngột khởi động lại mà không có bất kỳ cảnh báo hay thông báo lỗi nào. 3. Phản ứng: • Ngay lập tức sau đó, tôi đã tắt máy ảo mà không chờ xem điều gì sẽ xảy ra tiếp theo. • May mắn thay, tôi đã có bản sao lưu các phiên làm việc và tài khoản của mình, vì vậy không có thiệt hại nào xảy ra. 4. Xác nhận: • Sau đó, người dùng này đã thừa nhận trực tiếp với tôi rằng đây là một cuộc tấn công nhắm mục tiêu sử dụng RCE 1-click. Tôi biết người dùng này và thỉnh thoảng giao tiếp với anh ta — anh ta là một thành viên của Conti (Mục tiêu). Tôi theo dõi kênh của anh ta. Mỗi lần, anh ta xóa cuộc trò chuyện với tôi và sau đó là người đầu tiên khởi xướng một cuộc trò chuyện trở lại. Đây không phải là cuộc tấn công nhắm mục tiêu đầu tiên vào tôi (cho đến nay đều không thành công). Chi tiết quan trọng: • Tôi không nhấp vào bất kỳ liên kết bên ngoài nào hoặc mở tệp đính kèm. • Hành động duy nhất là nhấp vào một kênh Telegram đã bị xóa hiển thị trong thanh bên. • Hành động này đã kích hoạt hành vi không thể đoán trước của client — một lần khởi động lại tự phát của Telegram Desktop. Kết luận: Có khả năng cao rằng một lỗ hổng 1-click đã bị khai thác liên quan đến việc xử lý nội dung hoặc siêu dữ liệu liên quan đến các kênh Telegram (có thể trong phần xem trước hoặc trình xử lý URL kênh). Cuộc tấn công được thiết kế để kích hoạt trên một hành động của người dùng — nhấp vào một phần tử giao diện Telegram đã được sửa đổi hoặc giả mạo.