Telegram Info
@tginfo
ZDI зарегистрировала критическую уязвимость в Telegram — без паники
26 марта в базе Zero Day Initiative — крупнейшей независимой программе по поиску уязвимостей — появилась запись ZDI-CAN-30207, касающаяся Telegram. Уязвимость обнаружена исследователем Майклом Деплантом из Trend Micro.
Детали засекречены: по регламенту ZDI подробности будут раскрыты или как только мессенджер исправит проблему, или 24 июля 2026 года, если он этого не сделает.
Популярная версия об анимированных стикерах — это спекуляция и слухи, а не факты, известные из этой записи. Все остальные «подробности», которые распространяют СМИ и каналы, — либо домыслы, либо описания уже исправленных старых уязвимостей. Паниковать не стоит.
Что делать:
• Обновляйте Telegram сразу при выходе новых версий.
• Используйте официальное приложение Telegram, чтобы получить обновление с исправлением в первый же день.
• Других конкретных мер защиты предпринять невозможно — суть уязвимости неизвестна.
Реакция со стороны Telegram
Пресс-служба мессенджера заявила «Коду Дурова», что уязвимости не существует. Аргумент: все стикеры проверяются серверами, поэтому «наличие такого эксплойта невозможно».
Редакция @tginfo находит эту реакцию странной. Telegram почему-то прокомментировал именно спекуляции о стикерах, хотя вектор атаки не раскрыт и может вообще не иметь к ним отношения. Непонятно, зачем мессенджер стал опровергать слухи, вместо того чтобы просто подтвердить работу над отчётом ZDI.
Само утверждение о том, что эксплойт не существует из-за серверной проверки, технически несостоятельно: серверная валидация — лишь один из слоёв защиты, который сам может содержать ошибки и не покрывать все возможные сценарии. При этом стикеры, вызывающие аварийное завершение работы приложения на Android, существуют и сейчас, что уже ставит под вопрос полноту заявленной проверки.
Ответ мессенджера «Коду Дурова» — это декларация, а не аргумент. Подтвердить или опровергнуть наличие проблемы можно будет только после публикации деталей или выхода патча.
Что говорят открытые данные
Из записи ZDI известна предварительная оценка серьёзности — 9.8 из 10 — и параметры вектора атаки. Если оценка верна, уязвимость может эксплуатироваться удалённо через сеть, не требует каких-либо действий со стороны жертвы и никаких привилегий в системе, а в случае успешной эксплуатации потенциально позволяет злоумышленнику получить полный доступ к данным пользователя.
Это серьёзные параметры, однако предварительная оценка устанавливается исследователем и может быть скорректирована.
Контекст
Telegram не впервые сталкивается с критическими уязвимостями. В 2020 году исследователи Shielder выявили 13 уязвимостей в библиотеке rlottie для анимированных стикеров, включая ошибки записи за пределами буфера, позволявшие удалённо повреждать память устройства. Telegram исправил конкретные баги, но не стал менять архитектуру обработки. Потенциально анимированные стикеры остаются широкой поверхностью для атак, поэтому не исключено, что новая уязвимость эксплуатирует именно их.
В 2024 году в Telegram Desktop обнаружили возможность маскировать программы под видео, с помощью чего можно было проще убедить жертву нажать и запустить их. В 2025 году — похожую уязвимость EvilLoader на Android. Тогда же российский брокер уязвимостей Operation Zero предлагал до $4 млн за zero-click эксплойты в Telegram, а представитель мессенджера заявлял Forbes, что «Telegram никогда не был уязвим для zero-click эксплойтов».
Практика показывает, что Telegram предпочитает латать конкретные дыры, не решая системных проблем безопасности, и подобная риторика об «абсолютной невозможности» эксплойтов не вызывает доверия на фоне этой истории.
26 марта в базе Zero Day Initiative — крупнейшей независимой программе по поиску уязвимостей — появилась запись ZDI-CAN-30207, касающаяся Telegram. Уязвимость обнаружена исследователем Майклом Деплантом из Trend Micro.
Детали засекречены: по регламенту ZDI подробности будут раскрыты или как только мессенджер исправит проблему, или 24 июля 2026 года, если он этого не сделает.
Информации об использовании уязвимости «в дикой природе» настоящими хакерами нет. Прямо сейчас никто, кроме исследователя и разработчиков Telegram, не знает, в чём заключается уязвимость.
Популярная версия об анимированных стикерах — это спекуляция и слухи, а не факты, известные из этой записи. Все остальные «подробности», которые распространяют СМИ и каналы, — либо домыслы, либо описания уже исправленных старых уязвимостей. Паниковать не стоит.
Что делать:
• Обновляйте Telegram сразу при выходе новых версий.
• Используйте официальное приложение Telegram, чтобы получить обновление с исправлением в первый же день.
• Других конкретных мер защиты предпринять невозможно — суть уязвимости неизвестна.
Реакция со стороны Telegram
Пресс-служба мессенджера заявила «Коду Дурова», что уязвимости не существует. Аргумент: все стикеры проверяются серверами, поэтому «наличие такого эксплойта невозможно».
Редакция @tginfo находит эту реакцию странной. Telegram почему-то прокомментировал именно спекуляции о стикерах, хотя вектор атаки не раскрыт и может вообще не иметь к ним отношения. Непонятно, зачем мессенджер стал опровергать слухи, вместо того чтобы просто подтвердить работу над отчётом ZDI.
Само утверждение о том, что эксплойт не существует из-за серверной проверки, технически несостоятельно: серверная валидация — лишь один из слоёв защиты, который сам может содержать ошибки и не покрывать все возможные сценарии. При этом стикеры, вызывающие аварийное завершение работы приложения на Android, существуют и сейчас, что уже ставит под вопрос полноту заявленной проверки.
Ответ мессенджера «Коду Дурова» — это декларация, а не аргумент. Подтвердить или опровергнуть наличие проблемы можно будет только после публикации деталей или выхода патча.
Что говорят открытые данные
Из записи ZDI известна предварительная оценка серьёзности — 9.8 из 10 — и параметры вектора атаки. Если оценка верна, уязвимость может эксплуатироваться удалённо через сеть, не требует каких-либо действий со стороны жертвы и никаких привилегий в системе, а в случае успешной эксплуатации потенциально позволяет злоумышленнику получить полный доступ к данным пользователя.
Это серьёзные параметры, однако предварительная оценка устанавливается исследователем и может быть скорректирована.
Контекст
Telegram не впервые сталкивается с критическими уязвимостями. В 2020 году исследователи Shielder выявили 13 уязвимостей в библиотеке rlottie для анимированных стикеров, включая ошибки записи за пределами буфера, позволявшие удалённо повреждать память устройства. Telegram исправил конкретные баги, но не стал менять архитектуру обработки. Потенциально анимированные стикеры остаются широкой поверхностью для атак, поэтому не исключено, что новая уязвимость эксплуатирует именно их.
В 2024 году в Telegram Desktop обнаружили возможность маскировать программы под видео, с помощью чего можно было проще убедить жертву нажать и запустить их. В 2025 году — похожую уязвимость EvilLoader на Android. Тогда же российский брокер уязвимостей Operation Zero предлагал до $4 млн за zero-click эксплойты в Telegram, а представитель мессенджера заявлял Forbes, что «Telegram никогда не был уязвим для zero-click эксплойтов».
Практика показывает, что Telegram предпочитает латать конкретные дыры, не решая системных проблем безопасности, и подобная риторика об «абсолютной невозможности» эксплойтов не вызывает доверия на фоне этой истории.
👏 187
🤬 68
👍 63
62 357 35.4K
Обсуждение 62
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram