Güvenlik araştırmacıları ve resmi uyarılara göre, küresel olarak özel ve grup iletişimi için kullanılan bir mesajlaşma platformu olan Telegram’ı etkileyen bir güvenlik açığı, saldırganların hedef cihazlarda herhangi bir kullanıcı etkileşimi olmadan kod çalıştırmasına olanak tanıyabilir.
Trend Micro’nun Zero Day Initiative ile çalışan araştırmacıları tarafından tespit edilen bu sorun, özel olarak hazırlanmış animasyonlu çıkartmalarla tetiklenebilen sıfır tıklama uzaktan kod yürütme hatası olarak tanımlanıyor. Zero Day Initiative listesine göre, bu zafiyete 9.8 CVSS puanı verildi; bu da kritik ciddiyeti gösteriyor.
Bulgulara göre, saldırı Telegram’ın medya dosyalarını nasıl işlediğine dayanıyor. Sohbetlerde yaygın olarak kullanılan animasyonlu çıkartmalar, kötü amaçlı kod içerecek şekilde manipüle edilebilir. Böyle bir dosya alındığında, sistem onu otomatik olarak işleyerek bir önizleme oluşturur; bu da alıcının mesajı açmasına veya etkileşime girmesine gerek kalmadan kod çalıştırmasını tetikleyebilir.
Araştırmacılar ve ulusal siber güvenlik yetkilileri, başarılı bir sömürün, saldırganın bir cihaz üzerinde kontrol sahibi olmasına ve mesajlar, kişiler ve hesap oturum verileri gibi hassas bilgilere erişmesini sağlayabileceğini belirtti. Bu zaficanın, Android ve Linux için masaüstü sürümlerdeki Telegram uygulamalarını etkilediği bildirilmiştir.
Herhangi bir uzlaşma göstergesi kamuoyuna açıklanmadı ve teknik detaylar koordineli bir açıklama sürecinin parçası olarak sınırlı kaldı. Güvenlik açığının tam açıklaması, iyileştirme için zaman tanımak amacıyla daha sonraki bir tarihe planlandı.
Raporlara göre azaltma seçenekleri sınırlı. Gelen mesajların bilinen kişilerle sınırlı hale gelmesi, iş kullanıcılarının maruziyetini azaltabilirken, genel kullanıcılar hizmetin web tabanlı versiyonları gibi alternatif erişim yöntemlerine güvenmek zorunda kalabilir. Otomatik indirmelerin devre dışı bırakılması sorunu tamamen önlemez, çünkü etiket işleme sistem seviyesinde gerçekleşir.
Telegram, bu zafiyetin varlığını itiraz etti. Şirket, tüm çıkartmaların kullanıcılara teslim edilmeden önce sunucularında doğrulandığını ve bu sürecin zararlı dosyaların saldırı vektörü olarak kullanılmasını engellediğini belirtti.
Raporlama sırasında, bu zafiyetin gerçek dünya saldırılarında kullanılıp kullanılmadığı belirsizliğini sürdürüyor. Araştırmacılar daha fazla teknik detay açıklamadı ve herhangi bir yama doğrulanmadı.