Критическая уязвимость нулевого дня в Telegram

Обнаружена критическая уязвимость с оценкой 9.8 балла, позволяющая захватить аккаунт и устройство жертвы просто отправкой анимированного стикера.

В мессенджере Telegram выявлена критическая уязвимость нулевого дня, зарегистрированная в базе Zero Day Initiative под идентификатором ZDI-CAN-30207, сообщает stfw.ru. Уязвимость получила максимальную оценку опасности 9.8 из 10 по шкале CVSS и классифицируется как Remote Code Execution (RCE) с вектором атаки «нулевой клик» (zero-click).

Исследование провёл эксперт по кибербезопасности Майкл Деплант (Michael DePlante), работающий в составе команды TrendAI Zero Day Initiative, 26 марта 2026 года. Детали уязвимости пока не раскрываются публично и будут обнародованы не ранее 24 июля 2026 года, если разработчики мессенджера не выпустят патч раньше этого срока.

Технические характеристики угрозы

Уязвимость позволяет злоумышленнику выполнить произвольный код на устройстве жертвы без какого-либо взаимодействия с её стороны. Для атаки достаточно отправить специально сформированный анимированный стикер в чат с жертвой. Вектор атаки описывается формулой AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H, что означает возможность удалённой атаки с низким уровнем сложности, без необходимости привилегий и без участия пользователя.

Под угрозой находятся пользователи мессенджера на платформах Android и Linux. В отличие от предыдущих критических уязвимостей в Telegram, которые требовали хотя бы минимального взаимодействия (например, перехода по ссылке), этот баг относится к редкому и крайне опасному классу zero-click RCE. Оценка 9.8 близка к максимальной (10) и указывает на возможность полной компрометации устройства без ведома владельца.

Рекомендации по безопасности

На данный момент официального патча от разработчиков Telegram не выпущено, статус уязвимости подтверждён. Пользователям рекомендуется:

• Ограничить круг собеседников: запретить получение сообщений от незнакомых пользователей в настройках конфиденциальности.
• Отключить автозагрузку медиа: в настройках «Данные и память» отключить автоматическую загрузку анимаций и стикеров для неизвестных чатов.
• Не открывать чаты с неизвестными номерами: даже предпросмотр сообщения может триггерить уязвимость в некоторых реализациях.
• Следить за обновлениями: регулярно проверять наличие обновлений приложения в официальных магазинах.

Эксперты отмечают, что уязвимости класса zero-click часто используются продвинутыми группами хакеров и спецслужбами для целевых атак на журналистов, активистов и сотрудников корпораций. До выхода официального исправления наибольшую защиту обеспечивает временный отказ от использования мессенджера на уязвимых платформах или переход на веб-версию, которая может не подвергаться воздействию данного бага.

Контекст обнаружения

Запись ZDI-CAN-30207 появилась в списке предстоящих advisories проекта Zero Day Initiative 26 марта 2026 года. Это уже не первая критическая находка в популярных мессенджерах за последний месяц: ранее аналогичные уязвимости с оценкой 9.8 были обнаружены в платформе n8n. Telegram, насчитывающий более миллиарда пользователей, остаётся одной из приоритетных целей для исследователей безопасности из-за широкого распространения и использования в корпоративной среде.

Также по теме: