Telegram: vulnerabilità 0-click sfruttata con sticker animati?
Topic
Approfondimenti
Trending
tutti

Telegram: vulnerabilità 0-click sfruttata con sticker animati?

Nelle versioni di Telegram per Linux e Android ci sarebbe una vulnerabilità zero-click, ma la software house ha smentito quanto riportato da Trend Micro.
Telegram: vulnerabilità 0-click sfruttata con sticker animati?
Sicurezza
Nelle versioni di Telegram per Linux e Android ci sarebbe una vulnerabilità zero-click, ma la software house ha smentito quanto riportato da Trend Micro.
Google AI Studio

L’Agenzia per la Cybersicurezza Nazionale (ACN) ha riportato una presunta vulnerabilità zero-click di Telegram scoperta da un ricercatore di Trend Micro. Permetterebbe l’esecuzione di codice arbitrario su Linux e Android attraverso l’invio di alcuni file multimediali. La software house guidata da Pavel Durov ha tuttavia smentito la presenza di questo problema di sicurezza.

Il mistero della vulnerabilità zero-day

Come si può leggere nella pagina della Zero Day Initiative di Trend Micro, il ricercatore Michael DePlante ha segnalato la vulnerabilità ZDI-CAN-30207 il 26 marzo. Gli esperti della ACN hanno specificato che permette di eseguire codice remoto in Telegram per Linux e Android. Il punteggio di gravità assegnato originariamente era 9.8.

Il termine “zero-click” indica che la vulnerabilità può essere sfruttata senza l’interazione dell’utente. È sufficiente aprire un messaggio per infettare il dispositivo e accedere a numerosi dati sensibili, tra cui messaggi, contatti e sessioni attive. In questo caso sarebbe possibile con l’invio di un file multimediale, in particolare sticker animati.

I dettagli sulla vulnerabilità non sono stati divulgati per ovvi motivi. Ciò avverrà dopo il 24 luglio 2026 per dare tempo a Telegram di rilasciare la relativa patch, ovvero la versione aggiornata per Linux e Android. ACN ha consigliato di limitare la ricezione dai contatti o dagli utenti Premium, ma questa opzione è disponibile solo agli abbonati.

Ieri è tuttavia arrivata la smentita della software house tramite il portavoce Remi Vaughn:

Questa vulnerabilità non esiste. Il ricercatore afferma falsamente che uno sticker di Telegram corrotto potrebbe essere utilizzato come vettore di attacco, ignorando completamente il fatto che tutti gli sticker caricati su Telegram vengono convalidati dai suoi server prima di poter essere riprodotti dalle app di Telegram.

Tale controllo impedisce quindi di eseguire codice arbitrario tramite uno sticker animato. Trend Micro ha ridotto il punteggio di gravità a 7.0, confermando ugualmente l’esistenza di una vulnerabilità, anche se meno grave del previsto.

Fonte: ACN

Pubblicato il 31 mar 2026

Link copiato negli appunti

Ti potrebbe interessare

Giochi piratati: Denuvo crackato, serve una nuova protezione

Giochi piratati: Denuvo crackato, serve una nuova protezione
Google Drive scansiona i file caricati per rilevare ransomware

Google Drive scansiona i file caricati per rilevare ransomware
Data breach Intesa Sanpaolo: multa di 32 milioni di euro

Data breach Intesa Sanpaolo: multa di 32 milioni di euro
SPID, allarme phishing: attivi falsi siti dell'Agenzia delle Entrate

SPID, allarme phishing: attivi falsi siti dell'Agenzia delle Entrate
Giochi piratati: Denuvo crackato, serve una nuova protezione

Giochi piratati: Denuvo crackato, serve una nuova protezione
Google Drive scansiona i file caricati per rilevare ransomware

Google Drive scansiona i file caricati per rilevare ransomware
Data breach Intesa Sanpaolo: multa di 32 milioni di euro

Data breach Intesa Sanpaolo: multa di 32 milioni di euro
SPID, allarme phishing: attivi falsi siti dell'Agenzia delle Entrate

SPID, allarme phishing: attivi falsi siti dell'Agenzia delle Entrate
Luca Colantuoni
Pubblicato il
31 mar 2026
Link copiato negli appunti