Любой аккаунт под угрозой? В Telegram обнаружили критическую уязвимость нулевого дня
В реестре Zero Day Initiative появилась новая запись о потенциально критической уязвимости в Telegram, которая может затронуть безопасность пользовательских аккаунтов. Речь идёт о баге с идентификатором ZDI-CAN-30207, обнаруженном специалистами исследовательской команды 3Side.
По предварительной оценке, уязвимость получила 9,8 балла из 10 по шкале CVSS — это максимальный уровень угрозы, применяемый к наиболее опасным сценариям кибератак. Согласно опубликованным параметрам, потенциальная эксплуатация возможна удалённо через сеть, не требует авторизации, специальных условий или какого-либо участия со стороны жертвы. Такой набор характеристик теоретически делает проблему одной из наиболее серьёзных в текущем году.
Эксперты 3Side допускают, что при подтверждении отчёта уязвимость может позволить злоумышленникам получать доступ к аккаунтам пользователей без их ведома. При этом технические детали атаки пока не раскрываются — это стандартная практика ответственного раскрытия, направленная на предотвращение злоупотреблений до выхода исправления.
Информация о проблеме была передана разработчикам Telegram. В рамках политики Zero Day Initiative компании предоставляется до 120 дней на выпуск патча, однако в случаях с критическими уязвимостями подобного уровня разработчики, как правило, реагируют значительно быстрее.
На момент публикации команда Telegram официально не прокомментировала ситуацию. Также отсутствуют подтверждения того, что уязвимость уже используется в реальных атаках.
Специалисты по информационной безопасности рекомендуют пользователям соблюдать базовые меры предосторожности: обновлять приложение до последних версий, включать двухфакторную аутентификацию и внимательно относиться к любым подозрительным действиям в аккаунте.
