В Telegram опровергли заявление исследователя Майкла Депланта из TrendAI Zero Day Initiative (ZDI) о наличии в мессенджере уязвимости нулевого дня. В компании назвали информацию ZDI несоответствующей действительности. Об этом «Газете.Ru» сообщили в пресс-службе компании Telegram.
Речь идет об уязвимости ZDI-CAN-30207, о которой «Газета» сообщила 28 марта. Ее обнаружил исследователь Майкл Деплант, связанный с проектом TrendAI Zero Day Initiative. Потенциальная уязвимость якобы позволяет получить доступ к любому аккаунту незаметно для пользователя. Для этого злоумышленник должен отправить специальный стикер с вредоносным вложением. Ошибка получила оценку 9,8 балла по шкале CVSS, что соответствует почти максимальному уровню опасности.
В Telegram пояснили, что исследователь ошибочно предположил возможность атаки с использованием стикера с вредоносным кодом. По данным Telegram, все стикеры проходят обязательную серверную проверку перед тем, как становятся доступными для воспроизведения в приложении, что исключает подобный сценарий.
«Этой уязвимости не существует. Исследователь ложно утверждает, что скомпрометированный стикер Telegram может быть использован в качестве вектора атаки, полностью игнорируя тот факт, что все стикеры, загруженные в Telegram, проверяются серверами, прежде чем их можно будет воспроизвести в приложениях Telegram», – сообщил представитель мессенджера «Газете.Ru» Реми Ван (Remi Vaughn).
Telegram – это мессенджер, разработанный в августе 2013 года братьями Николаем и Павлом Дуровыми – создателями социальной сети «ВКонтакте» (ныне VK).
Ранее в сети появилось объявление о продаже этой уязвимости в Telegram.