Un ricercatore della Zero Day Initiative di TrendAI avrebbe individuato una vulnerabilità zero-day su Telegram che, a partire da uno sticker, potrebbe compromettere i dispositivi degli utenti. La risposta dell’app di messaggistica non si è fatta attendere e nega la veridicità del problema. Intanto, però, la segnalazione è avvenuta anche su ACN.
L’antefatto
Il profilo X della Zero Day Initiative ha condiviso quella che appare come una vulnerabilità dell’app di messaggistica, identificabile con ZDI-CAN-30207. Ad identificarlo il ricercatore Michael DePlante (@izobashi), di TrendAI. Inizialmente è stato identificato con una severità CVSS (Common Vulnerability Scoring System Calculato) 9.8, salvo poi correggerlo a 7.0 dopo le misure di mitigazione lato server descritte dal fornitore durante il processo di divulgazione.
Telegram, dal canto suo, ha subito commentato il primo tweet: “Questa falla non esiste. Questo ricercatore afferma falsamente che uno sticker di Telegram corrotto potrebbe essere utilizzato come vettore di attacco, ignorando completamente il fatto che tutti gli sticker caricati su Telegram vengono convalidati dai suoi server prima di poter essere riprodotti dalle app di Telegram”.
Ho chiesto ulteriori commenti allo staff dell’app che mi ha copiato e incollato la stessa risposta condivisa su X, ma sono in attesa di ulteriore materiale al quale Telegram non ha ancora risposto. Così come non ha ancora risposto DePlante che, tuttavia, ha commentato con un tweet il “declassamento” della vulnerabilità:
“Per essere chiari, la vulnerabilità esiste nel codice lato client. Durante il processo di divulgazione, Telegram ha spiegato che tutti gli adesivi vengono convalidati lato server, pertanto la possibilità di sfruttamento è significativamente inferiore rispetto a quanto indicato dalla mia valutazione iniziale”.
