Uma vulnerabilidade que afeta o Telegram, uma plataforma de mensagens usada globalmente para comunicação privada e em grupo, pode permitir que atacantes executem código em dispositivos-alvo sem qualquer interação do usuário, segundo pesquisadores de segurança e alertas oficiais.
O problema, identificado por pesquisadores que trabalham com a Iniciativa Zero Day da Trend Micro, é descrito como uma falha de execução remota de código com zero clique, que pode ser acionada por adesivos animados especialmente elaborados. A vulnerabilidade recebeu uma pontuação CVSS de 9,8, indicando gravidade crítica, segundo a listagem da Zero Day Initiative.
De acordo com as descobertas, o ataque depende de como o Telegram processa arquivos de mídia. Adesivos animados, que são comumente usados em chats, podem ser manipulados para incluir código malicioso. Quando tal arquivo é recebido, o sistema o processa automaticamente para gerar uma prévia, que pode acionar a execução do código sem que o destinatário abra ou interaja com a mensagem.
Pesquisadores e autoridades nacionais de cibersegurança afirmaram que a exploração bem-sucedida poderia permitir que um atacante tomasse controle sobre um dispositivo e acessasse informações sensíveis, incluindo mensagens, contatos e dados de sessões de conta. A vulnerabilidade foi relatada como afetando aplicativos do Telegram no Android e versões desktop para Linux.
Nenhum indício de comprometimento foi divulgado publicamente, e os detalhes técnicos permanecem limitados como parte de um processo coordenado de divulgação. A divulgação completa da vulnerabilidade foi agendada para uma data posterior para permitir tempo para remediação.
As opções de mitigação são limitadas, segundo os relatórios. Restringir mensagens recebidas a contatos conhecidos pode reduzir a exposição para usuários empresariais, enquanto usuários gerais podem precisar depender de métodos de acesso alternativos, como versões baseadas na web do serviço. Desabilitar os downloads automáticos não previne totalmente o problema, pois o processamento de adesivos ocorre no nível do sistema.
O Telegram contestou a existência dessa vulnerabilidade. A empresa afirmou que todos os adesivos são validados em seus servidores antes de serem entregues aos usuários e afirmou que esse processo impede que arquivos maliciosos sejam usados como vetor de ataque.
No momento da reportagem, ainda não está claro se a vulnerabilidade foi explorada em ataques do mundo real. Pesquisadores não divulgaram mais detalhes técnicos, e nenhum patch foi confirmado.