作者:Telebackup 团队
事件概述:
据 Trend Micro Zero Day Initiative(ZDI) 研究人员披露,该漏洞追踪为 ZDI-CAN-30207,初始 CVSS 评分为 9.8(高危),后因 Telegram 声称存在服务器端防护而调整为 7.0(高危)。漏洞主要影响 Telegram 的 Android 版本和 Linux 桌面版,核心在于应用对媒体文件的自动预览处理机制。
意大利国家网络安全局(ACN)已发布警报,指出攻击者可利用精心构造的**动态贴纸(animated stickers)**发动攻击。受害者仅需接收到该媒体文件,应用在后台自动生成预览时就可能触发代码执行,无需点击、打开或预览任何内容。
Telegram 官方随后回应称,该漏洞并不存在,因为所有贴纸在上传到平台后都会经过服务器端验证和扫描,恶意构造的文件无法通过过滤。Telegram 表示,此类攻击在技术上不可行。
ZDI 将完整披露日期定为 2026 年 7 月 24 日 左右(报告于 3 月底提交给 Telegram)。截至目前,双方仍存在争议,Telegram 未确认漏洞存在,也未发布相关补丁。注意:本次事件与 2023 年的旧漏洞(如 CVE-2023-26818)无关。
攻击方式简析
该漏洞的核心在于 Telegram 客户端对媒体文件的自动处理流程。研究人员指出,恶意构造的动态贴纸可在预览生成阶段触发内存相关问题,导致任意代码执行。
典型攻击链推测如下:
攻击者准备包含恶意载荷的动态贴纸文件。
通过聊天或群组发送给目标用户。
Telegram 客户端在接收后自动处理媒体,无需用户操作即可触发漏洞。
成功利用后,攻击者可获得 Telegram 进程权限,进而可能窃取本地数据、建立反向连接或实施进一步入侵。
由于整个过程“零点击”,风险显著高于普通钓鱼攻击。目前,ZDI 和研究人员均未公开技术细节或 PoC 代码,所有分析均基于公开警报和媒体报道。
潜在影响
普通用户:设备可能被完全接管,私人消息、联系人、会话密钥等敏感信息面临泄露风险。
企业与高价值目标:记者、公众人物或使用 Telegram 处理敏感沟通的组织尤其危险。攻击者一旦控制设备,可进一步进行数据窃取、横向渗透或持久化控制。
平台保密性:即使 Telegram 端到端加密消息,若设备被入侵,攻击者仍可能在本地读取明文内容。
临时缓解措施(强烈推荐立即执行)
在官方补丁发布前,用户可采取以下通用防护步骤:
禁用自动媒体下载:进入设置 > 数据与存储 > 自动下载媒体,将图片、视频、贴纸等选项设为“关闭”或仅限已知联系人。
限制陌生消息:优先使用仅允许已知联系人(或 Premium 用户)发起对话的功能。
监控设备行为:注意 Telegram 进程是否出现异常 CPU/内存占用、意外子进程启动,或向未知 IP 建立出站连接。
保持应用更新:虽然当前无补丁,仍建议及时更新到最新版本,并持续关注官方公告。
额外建议:高风险用户可考虑临时减少在公共群组或陌生聊天中的活跃度。
检测参考指标(适用于有日志监控能力的用户)
媒体处理过程中出现异常错误日志。
Telegram 进程启动 shell/bash 等子进程。
来自 Telegram 的非正常出站网络流量(尤其是 TLS 连接到未知域)。
结语
此次事件再次提醒我们,即使是主流即时通讯工具,也可能存在零日风险争议。零点击漏洞的隐蔽性使其成为高级威胁的潜在载体。在补丁正式推出前,谨慎管理媒体自动处理和限制陌生消息是降低风险的最有效方式。建议持续关注 ZDI 官网、ACN 警报以及 Telegram 官方频道的最新更新。
参考来源: