Критическая уязвимость в Telegram угрожает всем аккаунтам
Исследователи обнаружили критическую уязвимость в мессенджере Telegram, позволяющую удаленно взломать любой аккаунт. Для атаки не требуется действий жертвы или физический доступ к устройству. Уязвимости присвоен максимальный уровень опасности, а у разработчиков есть 120 дней на выпуск патча.
Специалист по информационной безопасности Майкл Деплант (Michael DePlante), сотрудничающий с проектом Zero Day Initiative (ZDI), обнаружил в мессенджере Telegram критическую уязвимость. Проблеме присвоен идентификатор ZDI-CAN-30207 и оценка 9,8 балла из 10 по шкале CVSS, что относит её к категории наиболее опасных (при условии подтверждения корректности отчета разработчиками).
Согласно описанию в реестре ZDI, уязвимость позволяет провести удаленную атаку через интернет с низкой сложностью эксплуатации. Злоумышленнику не требуется наличие учетной записи в системе, а для успешного взлома не нужно взаимодействие с пользователем - жертве не требуется переходить по фишинговым ссылкам или совершать иные действия.
«Баг» обнаружил исследователь в области безопасности Майкл Деплант. Сообщается, что уязвимость получила оценку 9,8 балла из 10 по шкале CVSS, что потенциально относит её к наивысшей категории опасности, если разработчики мессенджера подтвердят корректность отчёта исследователей по ИБ.
Способ взлома легок в применении, эксплуатируется через интернет (физический доступ к устройству не нужен), а злоумышленнику даже не нужно быть авторизованным в системе, говорится в реестре проекта Zero Day Initiative (ZDI).
Владельцу аккаунта не нужно переходить по фишинговым ссылкам или совершать другие действия, чтобы оказаться жертвой взлома. Приводит к нарушению конфиденциальности, целостности и доступности.
Технические детали уязвимости на данный момент не раскрываются. Согласно регламенту ZDI, команде разработчиков Telegram отведено 120 дней на исправление ошибки. Информация о находке была передана вендору 26 марта 2026 года, а публичное раскрытие подробностей назначено на 24 июля 2026 года. Если баг не будет устранен в установленный срок, детали станут общедоступными.
Официальных комментариев от Telegram на эту тему пока не поступало.
ZDI - это платформа, где исследователи безопасности («белые хакеры») находят уязвимости (zero-day) и передают информацию о них разработчикам через организаторов программы, вместо того чтобы публиковать их или использовать во вред.