Secondo l’Agenzia per la cybersicurezza nazionale (ANC) basterebbe uno sticker ricevuto in chat su Telegram per infettare i tuoi dispositivi. Nello specifico, alcuni esperti di sicurezza informatica avrebbero scoperto una presunta vulnerabilità 0‑click nella nota applicazione di messaggistica istantanea fondata da Pavel Durov. Tuttavia, l’azienda nello specifico ha dichiarato che la falla non esiste.
Partiamo dall’inizio, quando i ricercatori di Zero Day Initiative di Trend Micro hanno pubblicato alcuni documenti all’interno dei quali evidenziano una presunta vulnerabilità 0‑click di tipo “Remote Code Execution” con score CVSS v3.x pari a 9.8 che riguarderebbe Telegram nelle versioni per Android e Linux.
“Nel dettaglio, la vulnerabilità sembrerebbe poter permettere l’esecuzione di codice arbitrario da remoto mediante l’invio di file multimediali — in particolare sticker animati — opportunamente predisposti“, ha spiegato l’Agenzia per la cybersicurezza nazionale (ANC). “Trattandosi di una 0-click, l’esecuzione di codice malevolo risulterebbe automatica alla ricezione del file, senza la necessità di interazioni o conferme da parte del ricevente“.
Nello specifico, se la vulnerabilità dovesse essere reale, come ritengono i ricercatori di Zero Day Initiative, gli attori potrebbero prendere il controllo del dispositivo della vittima e accedere così a dati sensibili, informazioni personali, messaggi, contatti, sessioni attive collegati al suo account. In passato, un video ricevuto su Telegram poteva compromettere il dispositivo dell’utente.
Telegram smentisce l’esistenza della vulnerabilità
Nel frattempo, Telegram ha smentito ufficialmente l’esistenza della vulnerabilità 0‑click scoperta e pubblicata dai ricercatori di Zero Day Initiative di Trend Micro. In una nota ufficiale pubblicata recentemente ha dichiarato: “Questo ricercatore afferma falsamente che uno sticker Telegram corrotto potrebbe essere usato come vettore d’attacco, ignorando completamente il fatto che tutti gli sticker caricati su Telegram vengono validati dai server prima di poter essere riprodotti dalle app“.
Il consiglio degli esperti, soprattutto per chi utilizza un account business della nota applicazione, è di “valutare la possibilità di limitare la ricezione dei massaggi provenienti da nuovi interlocutori“. Il percorso è Messaggi -> Privacy e Sicurezza -> Messaggi -> Chi può inviarmi messaggi? -> Contatti e utenti Premium.
