據稱Telegram Messenger存在一個嚴重的漏洞，可能導致系統完全被劫持，目前正醞釀一場風暴。該漏洞尚未修復，其全部細節要到 7 月才會公佈。該漏洞可能影響這款熱門聊天應用程式的約10億用戶，由趨勢科技零日漏洞計畫（ZDI）的研究員麥可·德普蘭特發現。 ZDI於週四首次披露了漏洞的存在，並將其編號為ZDI-CAN-30207，同時設定了7月26日全面披露的最後期限。

然而，Telegram 在社群媒體網站 X 上否認有漏洞。這使得該公司與安全研究人員陷入僵局，因為該漏洞已經引發軒然大波，並在社交媒體和安全部落格上引起了廣泛關注。

ZDI 最初將漏洞的 CVSS 評分定為 9.8 分，但週一將其下調至高風險等級 7.0 分。 ZDI 在X 網站上發表的一篇文章中表示，此舉是為了反映「供應商在揭露過程中描述的伺服器端緩解措施」。

目前（可能要到7月26日）公開的漏洞細節非常有限。不過，一些已發布的報告解釋了為什麼該漏洞被評為如此危險的等級。根據義大利國家網路安全局發布的警報（由Google翻譯），ZDI-CAN-30207 疑似可對 Android 和 Linux 版本的應用程式發動零點擊遠端可執行的網路攻擊，該攻擊可能執行任意程式碼、存取私人通訊、進行監視、竊取敏感資料並破壞裝置功能。

義大利國家網路安全局週一更新了其警報，Telegram已否認此事。更新聲明稱：“根據官方立場，集中過濾流程可防止使用被篡改的貼紙作為攻擊媒介，因此從技術上講，不可能通過這種方法執行惡意程式碼。”

Telegram 使用訊息加密技術，被許多人用於私人通信，因此，如果一個零點擊漏洞允許攻擊者竊取資料、進行網路間諜活動以及開展其他各種惡意活動，那麼這將對該平台造成巨大的破壞，這是可以理解的。

事實上，威脅行為者可以利用即時通訊應用程式中的漏洞，針對各種有興趣的人士，這些人的通訊可能具有戰略或全球重要性——包括記者、政治人物、政府官員、公司高層或企業用戶。

同時，Telegram的安全政策也讓該公司陷入爭議和法律糾紛。值得注意的是，由於Telegram長期以來拒絕與執法機構共享數據（恐怖主義案件除外），其首席執行官帕維爾·杜羅夫於2024年被法國當局逮捕，這迫使Telegram對其政策做出修改。

此外，該應用程式也受到網路犯罪分子的歡迎，他們認為可以進行惡意活動而不被發現；事實上，他們經常建立專門的 Telegram 頻道作為不法活動的基礎。

防禦措施

除非 Telegram 改變對該漏洞存在的說法，否則公眾可能要到 7 月才能知道漏洞是否真的存在，以及它是否真如 ZDI 所擔心的那樣危險。在此之前，Telegram用戶應在未來幾個月內及時更新所有應用程式版本，並在漏洞出現時立即安裝相應的補丁，以確保使用最安全的版本。

在情況更加明朗之前，維維安蒂建議Telegram的企業用戶和個人用戶採取不同的防禦措施。對於企業用戶，她建議透過將訊息接收權限限制在受信任的聯絡人或進階用戶範圍內來縮小攻擊面。 「這無疑會影響溝通流程，但可以降低風險，」維維安蒂指出。

對於普通用戶而言，僅僅禁用自動下載是不夠的，Vivianti建議他們暫時卸載該應用程序，或者使用最新版本的瀏覽器存取Telegram網頁版，因為網頁版“利用了現代瀏覽器的沙盒架構”。她表示，與原生客戶端相比，這提供了更強的隔離層。

資料來源：https://www.darkreading.com/application-security/storm-brews-critical-no-click-telegram-flaw