Una vulnerabilidad que afecta a Telegram, una plataforma de mensajería utilizada globalmente para comunicación privada y grupal, podría permitir a los atacantes ejecutar código en dispositivos objetivo sin interacción del usuario, según investigadores de seguridad y alertas oficiales.
El problema, identificado por investigadores que trabajan con la Iniciativa Zero Day de Trend Micro, se describe como un fallo de ejecución remota de código de cero clic que puede activarse mediante pegatinas animadas especialmente diseñadas. A la vulnerabilidad se le ha asignado una puntuación CVSS de 9,8, lo que indica gravedad crítica, según la lista de la Iniciativa Día Cero.
Según los hallazgos, el ataque depende de cómo Telegram procesa los archivos multimedia. Las pegatinas animadas, que se usan comúnmente en los chats, pueden manipularse para incluir código malicioso. Cuando se recibe dicho archivo, el sistema lo procesa automáticamente para generar una vista previa, que puede desencadenar la ejecución del código sin que el destinatario tenga que abrir o interactuar con el mensaje.
Investigadores y autoridades nacionales de ciberseguridad afirmaron que la explotación exitosa podría permitir a un atacante tomar el control de un dispositivo y acceder a información sensible, incluidos mensajes, contactos y datos de sesiones de cuentas. Se ha informado que la vulnerabilidad afecta a las aplicaciones de Telegram en versiones de Android y escritorio para Linux.
No se han hecho públicos indicios de compromiso, y los detalles técnicos siguen siendo limitados como parte de un proceso coordinado de divulgación. La divulgación completa de la vulnerabilidad se ha programado para una fecha posterior para permitir tiempo para la remediación.
Las opciones de mitigación son limitadas, según los informes. Restringir los mensajes entrantes a contactos conocidos puede reducir la exposición para los usuarios empresariales, mientras que los usuarios generales pueden necesitar depender de métodos de acceso alternativos, como versiones web del servicio. Desactivar las descargas automáticas no previene completamente el problema, ya que el procesamiento de pegatinas se produce a nivel de sistema.
Telegram ha cuestionado la existencia de la vulnerabilidad. La empresa afirmó que todas las pegatinas se validan en sus servidores antes de entregarlas a los usuarios y afirmó que este proceso evita que los archivos maliciosos se utilicen como vector de ataque.
En el momento de la información, sigue sin estar claro si la vulnerabilidad ha sido explotada en ataques reales. Los investigadores no han publicado más detalles técnicos y no se ha confirmado ningún parche.