Из комментария пресс-службы Telegram по поводу критической уязвимости ZDI-CAN-30207 можно сделать следующие выводы:
🔻 Уязвимость на уровне приложения фактически подтвердили.
🔻 Вектором атаки, как и предполагалось, является пересылка жертве зловредного изображения (стикера).
🔻 К каким последствиям это может привести, всё ещё непонятно: от компрометации аккаунта до RCE на устройстве.
🔻 Заявляется наличие некоторого облачного механизма (антивируса?), с помощью которого Telegram фильтрует зловредные стикеры. Насколько он эффективен (и существует ли вообще 😏), - непонятно.
🔻 Официально Telegram уязвимость не признают, в лучшем случае исправят silent patching-ом и непонятно когда. Ответственным такое поведение назвать сложно. 🤷♂️🤦♂️
В то, что известный исследователь ZDI (8 лет стажа, ~200 CVE) мог сдать в Telegram неэксплуатабельную ерунду без пруфов, я не верю. Имхо, ZDI теперь имеют полное моральное право обидеться и сделать full disclosure.
Привет! Меня зовут Александр. Я специалист по Управлению Уязвимостями. Подробнее обо мне можно и моих проектах можете прочитать здесь. Приглашаю подписаться на мой канал @avleonovrus "Управление Уязвимостями и прочее" в MAX или в Telegram. Вы можете обсудить мои посты или задать вопросы в группе ВКонтакте.
And I invite all English-speaking people to another Telegram channel @avleonovcom.
Раз телеграм сказал, что уязвимости не существует, можно публиковать, а какие проблемы. Если что, сами виноваты.