Eine Schwachstelle, die Telegram betrifft, eine weltweit für private und Gruppenkommunikation genutzte Messaging-Plattform, könnte es Angreifern laut Sicherheitsforschern und offiziellen Warnungen ermöglichen, Code auf Zielgeräten ohne Benutzerinteraktion auszuführen.
Das Problem, das von Forschern der Zero Day Initiative von Trend Micro identifiziert wurde, wird als Zero-Click-Remote-Code-Ausführungsfehler beschrieben, der durch speziell gestaltete animierte Aufkleber ausgelöst werden kann. Der Schwachstelle wurde laut der Zero Day Initiative ein CVSS-Wert von 9,8 zugewiesen, was auf eine kritische Schwere hinweist.
Laut den Ergebnissen basiert der Angriff darauf, wie Telegram Mediendateien verarbeitet. Animierte Aufkleber, die häufig in Chats verwendet werden, können manipuliert werden, um bösartigen Code einzuschließen. Wenn eine solche Datei empfangen wird, verarbeitet das System sie automatisch, um eine Vorschau zu erzeugen, die die Codeausführung auslösen kann, ohne dass der Empfänger die Nachricht öffnen oder mit ihr interagieren muss.
Forscher und nationale Cybersicherheitsbehörden erklärten, dass eine erfolgreiche Ausnutzung es einem Angreifer ermöglichen könnte, die Kontrolle über ein Gerät zu erlangen und auf sensible Informationen wie Nachrichten, Kontakte und Kontositzungsdaten zuzugreifen. Es wurde berichtet, dass die Schwachstelle Telegram-Anwendungen auf Android und Desktop-Versionen für Linux betrifft.
Es wurden keine Hinweise auf eine Kompromittierung öffentlich veröffentlicht, und technische Details bleiben im Rahmen eines koordinierten Offenlegungsprozesses begrenzt. Die vollständige Offenlegung der Schwachstelle wurde für einen späteren Zeitpunkt angesetzt, um Zeit für die Behebung zu schaffen.
Laut den Berichten sind die Möglichkeiten zur Minderung begrenzt. Die Einschränkung eingehender Nachrichten auf bekannte Kontakte kann die Gefährdung für Geschäftsnutzer verringern, während allgemeine Nutzer möglicherweise auf alternative Zugriffsmethoden wie webbasierte Versionen des Dienstes zurückgreifen müssen. Das Deaktivieren automatischer Downloads verhindert das Problem nicht vollständig, da die Verarbeitung der Aufkleber auf Systemebene erfolgt.
Telegram hat die Existenz der Schwachstelle bestritten. Das Unternehmen erklärte, dass alle Aufkleber auf seinen Servern validiert werden, bevor sie an die Nutzer verteilt werden, und erklärte, dass dieser Prozess verhindert, dass bösartige Dateien als Angriffsvektor verwendet werden.
Zum Zeitpunkt der Berichterstattung ist unklar, ob die Schwachstelle bei realen Angriffen ausgenutzt wurde. Forscher haben keine weiteren technischen Details veröffentlicht, und ein Patch wurde nicht bestätigt.