ZDI在Telegram中注册了一个关键漏洞——别慌
2023年3月26日,Zero Day Initiative(ZDI)——最大的独立漏洞挖掘项目——的数据库中出现了一个编号为ZDI‑CAN‑30207的条目,涉及Telegram。该漏洞由Trend Micro的研究员Michael DePlante发现。
细节被划为机密:根据ZDI的规定,具体信息将在Telegram修复该问题后公开,或者如果未在2026年7月24日前修复,则在该日期公开。
目前没有关于此漏洞已被真实黑客“在野外”利用的消息。现在,除了研究员和Telegram开发者之外,没有人知道该漏洞到底是什么。
关于动画贴纸的流行说法纯属猜测和谣言,并非该条目中已知的事实。媒体和各渠道传播的其他“细节”要么是推测,要么是对已经修复的旧漏洞的描述。没有必要惊慌。
该怎么办:
• 在新版本发布时立即更新Telegram。
• 使用官方Telegram应用,以在第一天就收到包含修复的更新。
• 由于漏洞性质未知,暂无其他具体防护措施可采取。
Telegram的回应
该通讯软件的新闻部门在接受Durov's Code采访时表示,漏洞并不存在。他们的论点是:所有贴纸都会经过服务器检查,因此“这种利用方式的存在是不可能的”。
@tginfo的编辑们觉得这种回应很奇怪。Telegram专门针对关于贴纸的猜测作出评论,尽管攻击向量并未披露,且可能与贴纸毫无关联。尚不清楚为何该公司选择反驳谣言,而不是简单确认他们已在ZDI报告上开展工作。
声称由于服务器端验证,漏洞不存在的说法本身在技术上是有缺陷的:服务器验证只是众多防护层之一,该层本身也可能出现错误,且未必覆盖所有场景。此外,导致Android客户端崩溃的贴纸至今仍然存在,这已经对所谓的“检查完备性”提出了质疑。
Telegram对Durov's Code的回应更像是一种声明,而非论证。只有等到细节公开或补丁发布后,才能确认或否认问题的存在。
公开数据的说明
从ZDI条目中可以看到初步的危害评分——10分满分中的9.8分——以及攻击向量参数。如果评估准确,该漏洞可以远程网络利用,无需用户交互,也不需要系统权限,且可能让攻击者获得用户数据的完整访问权限。
这些参数相当严重,然而初步评分是由研究员给出的,可能会在后续调整。
背景
这并非Telegram第一次面对关键漏洞。2020年,Shielder研究团队在用于动画贴纸的rlottie库中发现了13个漏洞,其中包括可导致远程内存损坏的越界写入错误。Telegram修复了这些具体错误,但未改变处理架构。动画贴纸因此仍可能成为广泛的攻击面,新漏洞是否专门利用贴纸仍不能排除。
2024年,Telegram Desktop出现一个缺陷,允许程序伪装成视频,从而更容易诱使受害者点击并运行。2025年,Android端出现类似的EvilLoader漏洞。同一时期,俄罗斯漏洞经纪组织Operation Zero为Telegram的零点击利用提供了最高400万美元的悬赏,而该通讯软件的一位代表对《福布斯》表示:“Telegram从未受到零点击利用的影响。”
实践表明,Telegram倾向于针对具体漏洞进行修补,却不去解决系统性的安全问题;而关于“绝对不可能”出现利用的言论并未在此类事件面前提升用户信心。