- Сообщения
- 4.422
- Реакции
- 4.911
В Telegram обнаружили критическую уязвимость, которая теоретически может позволить удалённо взломать практически любой аккаунт без участия самого пользователя.
О проблеме сообщил исследователь в области кибербезопасности Майкл Деплант. Уязвимость получила оценку 9,8 из 10 по шкале CVSS, что соответствует почти максимальному уровню опасности — если Telegram подтвердит корректность отчёта, опубликованного исследователями по ИБ.
По данным проекта Zero Day Initiative, способ эксплуатации достаточно простой: атака может проводиться через интернет, без физического доступа к устройству и даже без авторизации злоумышленника в системе. При этом владельцу аккаунта не нужно переходить по подозрительным ссылкам или выполнять какие-либо действия, чтобы стать жертвой взлома.
Сообщается, что уязвимость может затронуть сразу три ключевых аспекта безопасности — конфиденциальность, целостность и доступность данных. Теперь, согласно правилам ZDI, у команды Telegram есть 120 дней на устранение проблемы. Если за это время баг не исправят, его технические детали могут быть раскрыты публично, что создаст серьёзные риски для миллионов пользователей по всему миру.
Официальных комментариев от Telegram по этому поводу пока не было. ZDI — это платформа, через которую исследователи безопасности передают информацию о найденных zero-day-уязвимостях организаторам программы, вместо того чтобы публиковать её сразу или использовать во вред.
