Информация о возможности атаки на Windows версию Telegram Desktop подтвердилась. Однако при исполнении RCE будет предупреждение о запуске приложения, поэтому массово заражать устройства не получится, только единичные цели.
В Android приложении такого предупреждения нет, и можно внедрить не только APK файлы, но и любой исполняемый скрипт, попавшись на такое вы даже можете не узнать об этом
Прилагаю комментарий от разработчика одного из упаковщиков, использующих этот RCE.
Кому не влом, отправьте письмо Telegram с кратким описанием проблемы или прикрепите ссылку на пост об этом.
[email protected]