Een kwetsbaarheid die Telegram treft, een berichtenplatform dat wereldwijd wordt gebruikt voor privé- en groepscommunicatie, zou aanvallers in staat kunnen stellen code uit te voeren op doelgerichte apparaten zonder enige gebruikersinteractie, volgens beveiligingsonderzoekers en officiële waarschuwingen.
Het probleem, geïdentificeerd door onderzoekers die samenwerken met Trend Micro’s Zero Day Initiative, wordt beschreven als een zero-click remote code-executiefout die kan worden geactiveerd via speciaal gemaakte geanimeerde stickers. De kwetsbaarheid heeft een CVSS-score van 9,8 gekregen, wat wijst op kritieke ernst, volgens de lijst van de Zero Day Initiative.
Volgens de bevindingen is de aanval afhankelijk van hoe Telegram mediabestanden verwerkt. Geanimeerde stickers, die vaak in chats worden gebruikt, kunnen worden aangepast om kwaadaardige code toe te voegen. Wanneer zo’n bestand wordt ontvangen, verwerkt het systeem het automatisch om een preview te genereren, die code-uitvoering kan starten zonder dat de ontvanger het bericht hoeft te openen of ermee te interacteren.
Onderzoekers en nationale cybersecurityautoriteiten verklaarden dat succesvolle exploitatie een aanvaller in staat zou kunnen stellen controle te krijgen over een apparaat en toegang te krijgen tot gevoelige informatie, waaronder berichten, contacten en accountsessiegegevens. Er is gemeld dat de kwetsbaarheid Telegram-applicaties treft op Android- en desktopversies voor Linux.
Er zijn geen aanwijzingen voor een compromis openbaar gemaakt, en technische details blijven beperkt als onderdeel van een gecoördineerd openbaarmakingsproces. Volledige openbaarmaking van de kwetsbaarheid is gepland voor een latere datum om tijd te hebben voor herstel.
Volgens de rapporten zijn de mogelijkheden voor mitigatie beperkt. Het beperken van binnenkomende berichten tot bekende contacten kan de blootstelling voor zakelijke gebruikers verminderen, terwijl algemene gebruikers mogelijk alternatieve toegangsmethoden moeten gebruiken, zoals webgebaseerde versies van de dienst. Het uitschakelen van automatische downloads voorkomt het probleem niet volledig, omdat stickerverwerking op systeemniveau plaatsvindt.
Telegram heeft het bestaan van de kwetsbaarheid betwist. Het bedrijf verklaarde dat alle stickers op zijn servers worden gevalideerd voordat ze aan gebruikers worden geleverd en dat dit proces voorkomt dat kwaadaardige bestanden als aanvalsvector worden gebruikt.
Op het moment van de rapportage is het nog onduidelijk of de kwetsbaarheid is uitgebuit bij aanvallen in de echte wereld. Onderzoekers hebben geen verdere technische details vrijgegeven en er is geen patch bevestigd.