В мессенджере Telegram обнаружена потенциально критическая уязвимость, которая позволяет проводить удалённую атаку без какого‑либо участия пользователя. Об этом сообщил эксперт по информационной безопасности Майкл Деплант, передавший данные в программу Zero Day Initiative (ZDI). Проблема получила идентификатор ZDI-CAN-30207 и предварительную оценку 9,8 из 10 по шкале CVSS, что соответствует уровню критичности, близкому к максимальному.
По данным ZDI, эксплойт может выполняться дистанционно через интернет и не требует ни доступа к устройству жертвы, ни наличия аккаунта в Telegram у атакующего. Пользователю также не нужно переходить по ссылкам, открывать файлы или совершать другие действия, что резко повышает риск массовой эксплуатации. Потенциальные последствия включают нарушение конфиденциальности, целостности и доступности пользовательских данных.
Информация об уязвимости была передана разработчикам Telegram 26 марта 2026 года. Согласно регламенту Zero Day Initiative, у компании есть 120 дней на подготовку и выпуск исправления. Если патч не выйдет в срок, технические детали могут быть раскрыты 24 июля 2026 года, что увеличит вероятность появления рабочих эксплойтов в открытом доступе. Пока техническая информация не публикуется именно для снижения этого риска.
Представители Telegram в одном из комментариев опровергли версии о том, что вектор атаки связан со стикерами, отметив, что все стикеры проходят проверку на серверах. При этом вектор атаки официально не раскрывается, а сообщества, отслеживающие новости о мессенджере, указывают, что серверная проверка не гарантирует абсолютной защиты. В других заявлениях компания напрямую ситуацию пока не комментирует, продолжая развивать собственную bug bounty‑программу для вознаграждения исследователей.
Telegram — кроссплатформенный облачный мессенджер, запущенный в 2013 году Павлом и Николаем Дуровыми. Сервис доступен на Android, iOS, Windows, macOS и Linux, поддерживает текстовые, голосовые и видеосообщения, групповые чаты, каналы и ботов. По состоянию на март 2025 года у Telegram более 1 млрд ежемесячно активных пользователей, что делает его одним из ключевых мессенджеров в мире, а обнаружение критических уязвимостей потенциально затрагивает глобальную аудиторию.