Una vulnerabilità che riguarda Telegram, una piattaforma di messaggistica utilizzata a livello globale per comunicazioni private e di gruppo, potrebbe permettere agli aggressori di eseguire codice su dispositivi bersaglio senza alcuna interazione degli utenti, secondo ricercatori di sicurezza e allerti ufficiali.
Il problema, identificato dai ricercatori che collaborano con la Zero Day Initiative di Trend Micro, è descritto come un difetto di esecuzione di codice a zero click che può essere attivato tramite adesivi animati appositamente creati. La vulnerabilità ha ricevuto un punteggio CVSS di 9,8, che indica una gravità critica, secondo l’elenco della Zero Day Initiative.
Secondo i risultati, l’attacco si basa su come Telegram elabora i file multimediali. Gli adesivi animati, comunemente usati nelle chat, possono essere manipolati per includere codice malevolo. Quando un file del genere viene ricevuto, il sistema lo elabora automaticamente per generare un’anteprima, che può attivare l’esecuzione del codice senza che il destinatario debba aprire o interagire con il messaggio.
Ricercatori e autorità nazionali di cybersecurity hanno affermato che lo sfruttamento efficace potrebbe permettere a un attaccante di prendere il controllo di un dispositivo e accedere a informazioni sensibili, inclusi messaggi, contatti e dati delle sessioni dell’account. È stata segnalata che la vulnerabilità colpisce le applicazioni Telegram su Android e sulle versioni desktop per Linux.
Non sono stati resi pubblici indicatori di compromissione e i dettagli tecnici restano limitati nell’ambito di un processo coordinato di divulgazione. La divulgazione completa della vulnerabilità è stata programmata per una data successiva per consentire tempo di rimediazione.
Secondo i rapporti, le opzioni di mitigazione sono limitate. Limitare i messaggi in arrivo ai contatti noti può ridurre l’esposizione per gli utenti aziendali, mentre gli utenti generali potrebbero dover fare affidamento su metodi di accesso alternativi, come le versioni web del servizio. Disabilitare i download automatici non previene completamente il problema, poiché l’elaborazione degli sticker avviene a livello di sistema.
Telegram ha contestato l’esistenza della vulnerabilità. L’azienda ha dichiarato che tutti gli adesivi vengono validati sui suoi server prima di essere consegnati agli utenti e ha affermato che questo processo impedisce l’uso di file dannosi come vettori di attacco.
Al momento della riportata, non è chiaro se la vulnerabilità sia stata sfruttata in attacchi reali. I ricercatori non hanno rilasciato ulteriori dettagli tecnici e nessuna patch è stata confermata.