CSIRT Toscana Telegram: rilevata presunta vulnerabilità 0-Click (AL01/260328/CSIRT-ITA)
Data:
30 Marzo 2026
Impatto Sistemico
Alto (74.1)
Sintesi
Sono state recentemente rilevate online notizie inerenti ad una presunta vulnerabilità 0‑click in Telegram, nota applicazione di messaggistica istantanea. Tale vulnerabilità potrebbe consentire a utente malintenzionato di eseguire codice arbitrario su istanze applicative Android e Linux, tramite l’invio di contenuti multimediali opportunamente predisposti.
Tipologia
Remote Code Execution
Descrizione
I ricercatori di Zero Day Initiative (ZDI) di Trend Micro hanno recentemente evidenziato una presunta vulnerabilità 0‑click – di tipo “ Remote Code” Execution ” con score CVSS v3.x pari a 9.8 – che interesserebbe la nota applicazione di messaggistica istantanea Telegram, nelle versioni per Android e Linux.
Nel dettaglio, la vulnerabilità sembrerebbe poter permettere l’esecuzione di codice arbitrario da remoto mediante l’invio di file multimediali — in particolare sticker animati — opportunamente predisposti. Trattandosi di una 0-click, l’esecuzione di codice malevolo risulterebbe automatica alla ricezione del file, senza la necessità di interazioni o conferme da parte del ricevente.
Lo sfruttamento di tale vulnerabilità potrebbe garantire all’attaccante il controllo del dispositivo e l’accesso ai dati sensibili, inclusi messaggi, contatti e sessioni attive relativi all’account Telegram.
AGGIORNAMENTO (30/03/2026)
A seguito di interlocuzioni dirette, Telegram Messenger ha formalmente smentito l’esistenza della vulnerabilità 0-click precedentemente segnalata, dichiarando che la falla non sussiste. Il vendor afferma che ogni sticker caricato sulla piattaforma viene sottoposto a una procedura di validazione obbligatoria sui propri server prima di essere distribuito alle applicazioni client. Secondo questa posizione ufficiale, il processo di filtraggio centralizzato impedisce l’utilizzo di sticker corrotti come vettore di attacco, rendendo tecnicamente impossibile l’esecuzione di codice malevolo tramite tale metodo.
Prodotti e/o versioni affette
Telegram per Android
Telegram per Linux
Azioni di Mitigazione
In attesa di ulteriori sviluppi gli utenti con account Telegram Business, potrebbero valutare la possibilità di limitare la ricezione dei massaggi provenienti da nuovi interlocutori.
Nel dettaglio, in Messaggi -> Privacy e Sicurezza -> Messaggi, è possibile restringere la ricezione di nuove comunicazioni ai soli contatti in rubrica o utenti Premium.
Riferimenti
- https://www.zerodayinitiative.com/advisories/upcoming/
- https://securityonline.info/telegram-critical-zero-click-vulnerability-zdi-can-30207/
Change log
| Versione | Note | Data |
|---|---|---|
| 1.0 | Pubblicato il 28-03-2026 | 28/03/2026 |
| 1.1 | Telegram Messenger, attraverso il portavoce Remi Vaughn, ha formalmente smentito al CSIRT Italia l’esistenza della vulnerabilità 0-click. | 30/03/2026 |
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link
Ultimo aggiornamento
30 Marzo 2026, 13:30