Telegram贴纸功能曝出零点击0day漏洞？官方否认

编译：代码卫士

上周四，ZDI 发布文章称研究员 Michael DePlante发现Telegram Messenger中存在一个严重漏洞（内部编号ZDI-CAN-30207），可导致系统完全被劫持，影响10亿用户。漏洞完整细节计划在7月26日前公布。然而，Telegram却在社交媒体网站X上发帖，否认该漏洞的存在。这一情况引发轩然大波。ZDI曾为该漏洞赋予 CVSS 9.8分的严重级别评分，但在本周一将其下调至7.0分的高危级别。ZDI在X平台上发帖称，做出这一调整是为了反映“供应商在披露过程中所描述的服务器端缓解措施”。

虽然目前关于该漏洞的公开细节寥寥无几，但多份已发布的报告解释了为何该漏洞会获得如此危险的评级。意大利国家网络安全局发布警报（经由谷歌翻译）称，ZDI-CAN-30207漏洞可对Android和Linux版本的该应用实现疑似零点击、可通过网络远程执行的攻击，这种攻击能够执行任意代码、访问私人通信、实施监控、窃取敏感数据以及破坏设备功能。

当好贴纸变坏时

该漏洞的利用涉及使用Telegram中一个被篡改的贴纸 (sticker) 作为攻击载体。贴纸是经过特殊处理的媒体文件，用户在使用该应用聊天时常用它们来表达情感或代替短消息。

独立网络安全顾问 Carolina Vivianti 在Red Hot Cyber博客上发文指出：“攻击载体出奇地简单：动态贴纸。”她称该漏洞“极其令人不安”，因为要利用该漏洞实施攻击，用户在Telegram会话中无需点击或打开任何内容。她写道：“仅仅收到内容就足够了。无需确认，无需用户交互。系统会处理这些文件以生成预览图，而攻击恰恰就发生在这个阶段。”

然而，Telegram在X平台上反复声明称，通过贴纸进行此类攻击是不可能的，并声称这种说法“完全忽略了所有上传到Telegram的贴纸在能被Telegram应用播放之前，都会经过其服务器的验证”。

意大利国家网络安全局周一更新了告警并加入了Telegram的否认声明。更新内容写道：“根据这一官方立场，集中式过滤流程阻止了使用被篡改的贴纸作为攻击载体，使得通过此方法执行恶意代码在技术上成为不可能。”目前该机构并未立即回复更多漏洞信息相关问询。

Telegram面临更多麻烦？

Telegram采用消息加密机制，被许多人用于私人通信。因此，一个能让攻击者窃取数据、实施网络间谍活动及进行各种其它恶意行为的零点击漏洞，会对该平台造成巨大冲击。

事实上，威胁行动者可以利用即时通讯应用中的漏洞，针对通信内容可能具有战略或全球重要性的各类目标人物，包括记者、政治人物、政府官员、公司高管或企业用户。与此同时，Telegram的安全政策也使该公司深陷争议和法律纠纷。值得注意的是，首席执行官Pavel Durov于2024年被法国当局逮捕，原因是Telegram一直拒绝与执法机构共享除恐怖主义案件以外的数据，这一事件迫使该公司对其政策做出了调整。

此外，该应用在网络犯罪分子中也很受欢迎，他们认为可以在此进行恶意活动而无需担心被检测到；事实上，他们经常设立专门的Telegram频道作为非法活动的基础。

防御措施

在Telegram改变否认该漏洞存在的立场之前，公众在7月之前不太可能知晓该漏洞不仅存在而且如ZDI所担心的那样危险。在此之前，Telegram用户应安装未来几个月发布的所有应用更新，并在补丁出现时立即应用任何为修复该漏洞而部署的补丁，以确保自己使用的是最安全的版本。

在情况变得更加明朗之前，Vivianti为Telegram的企业用户和个人用户分别提出了防御建议。对于前者，她建议通过将消息接收限制为仅限受信任的联系人或高级用户来减少攻击面。她认为，虽然这么做会影响通信流程，但能降低暴露风险。对于普通公众，由于仅禁用自动下载是不够的，因此她建议用户暂时卸载该应用，或通过最新版本的浏览器使用Telegram网页版，从而“利用现代浏览器的沙盒架构”。她表示，与原生客户端相比，网页提供了更强的隔离层。

原文链接

https://www.darkreading.com/application-security/storm-brews-critical-no-click-telegram-flaw

声明：本文来自代码卫士，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。