Un grave bug di sicurezza sul messenger Telegram, identificato con il codice ZDI-CAN-30207, è stato segnalato dalla Zero Day Initiative con un punteggio CVSS iniziale di 9.8, indicando un possibile exploit remoto senza interazione dell’utente. Secondo alcuni ricercatori, il bug potrebbe compromettere qualsiasi account. Telegram ha però smentito l’esistenza della falla, attribuendo l’errore a un’interpretazione errata. In assenza di dettagli tecnici pubblici, il caso resta aperto, con il punteggio successivamente ridotto a 7.0.
Nella giornata di ieri, nel registro della Zero Day Initiative (ZDI) è stata segnalata una vulnerabilità critica per il messenger Telegram, identificata come ZDI-CAN-30207. Il problema è stato scoperto da Michael DePlante, ricercatore della ZDI. Tuttavia, i rappresentanti di Telegram hanno dichiarato ai media che tale vulnerabilità non esiste e che il ricercatore si è sbagliato.
Ricordiamo che ZDI è il più grande programma di bug bounty indipendente dai fornitori al mondo, supportato da Trend Micro. Il progetto, attivo dal 2005, è specializzato nella divulgazione responsabile delle vulnerabilità.
ZDI riceve molte informazioni sui bug non corretti da parte dei ricercatori indipendenti, le trasmette ai fornitori e paga ricompense a chi li segnala. I dettagli tecnici dei problemi non vengono resi pubblici fino al rilascio di una patch.
Advertising
Oltre a collaborare con i singoli ricercatori di sicurezza, ZDI dispone anche di un proprio team interno di bug hunter, che si occupa anch’esso della scoperta delle vulnerabilità, e DePlante è membro di questo team.
La vulnerabilità ZDI-CAN-30207 ha ricevuto nella giornata di ieri un punteggio CVSS di 9,8 su 10. Secondo il vettore CVSS, il problema può essere sfruttato da remoto e non richiede privilegi, condizioni particolari o interazione da parte della vittima. Secondo gli specialisti di sicurezza di 3Side, che sono stati tra i primi a notare la voce di registro ZDI, questo bug “consente molto probabilmente di violare qualsiasi account Telegram”.
Telegram, tuttavia, ha una visione diversa della situazione. L’ufficio stampa del servizio di messaggistica ha dichiarato sul social network X che tale vulnerabilità semplicemente non esiste.
Secondo i rappresentanti di Telegram, il ricercatore ha erroneamente affermato che per l’attacco si sarebbe potuto utilizzare un adesivo contenente codice dannoso.
L’azienda ha spiegato, all’interno nel post di risposta a ZDI su X, che tutti gli adesivi caricati su Telegram vengono convalidati sui server dell’azienda prima di essere visualizzati dai client, il che rende impossibile questo tipo di sfruttamento.
Advertising
I dettagli tecnici della vulnerabilità non sono ancora stati divulgati, come da prassi di ZDI, pertanto è impossibile confermarne o smentirne l’esistenza in modo indipendente. Secondo le normative ZDI, i dettagli completi saranno disponibili dopo il rilascio di una patch o dopo un periodo di 120 giorni.
E’ importante sottolineare che la voce nel catalogo ZDI, ha cambiato score passando da 9.8 di ieri a 7.0 di oggi.
📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su Google Discover (scorri in basso e clicca segui) e su 🔔 Google News. Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram. Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici
Bajram Zeqiri è un esperto di cybersecurity, cyber threat intelligence e digital forensics con oltre vent'anni di esperienza, che unisce competenze tecniche, visione strategica creare la resilienza cyber per le PMI. Fondatore di ParagonSec e collaboratore tecnico per Red Hot Cyber, opera nella delivery e progettazione di diversi servizi cyber, SOC, MDR, Incident Response, Security Architecture, Engineering e Operatività. Aiuta le PMI a trasformare la cybersecurity da un costo a leva strategica per le PMI.
Aree di competenza:Cyber threat intelligence, Incident response, Digital forensics, Malware analysis, Security architecture, SOC/MDR operations, OSINT research
Betti RHC, la prima graphic novel al mondo dedicata alla cybersecurity awareness, ha finalmente il suo sito ufficiale. Uno spazio tutto suo dove scoprire il progetto, sfogliare le copertine degli episodi e immergersi nel mondo di Betti: la giovane laureanda in informatica che, dopo la morte misteriosa del padre, si trasforma nell'hacker più potente del mondo. Una storia avvincente che, episodio dopo episodio, affronta una minaccia digitale diversa — dal phishing al ransomware, fino al cyberbullismo — e insegna a riconoscerla e a difendersi, senza che sembri mai una lezione.
Sul sito trovate tutto ciò che rende Betti un progetto diverso dal solito: la sua filosofia, le anteprime delle tavole e il racconto di come nasce ogni volume. Perché dietro Betti RHC c'è solo lavoro umano: ogni tavola è disegnata interamente a mano dagli artisti del Gruppo Arte di Red Hot Cyber, senza alcun uso di intelligenza artificiale. E a garantire che ogni storia sia realistica e tecnicamente corretta c'è la supervisione degli hacker etici del gruppo HackerHood, che mantengono il racconto fedele al mondo reale della sicurezza informatica.
C'è spazio anche per le aziende, che possono usare Betti come strumento di awareness diverso dai soliti corsi: acquistare i volumi, personalizzarli con il proprio brand o sponsorizzare nuovi episodi. E come primo regalo, l'episodio "Byte the Silence", dedicato al cyberbullismo, è scaricabile gratuitamente per uso personale.