Telegram torna al centro dell'attenzione per una vulnerabilità che, se confermata, potrebbe avere implicazioni critiche per la sicurezza. La segnalazione arriva da un ricercatore della TrendAI Micro Zero Day Initiative, che ha identificato un possibile problema legato alla gestione degli sticker animati sull'app per Linux e Android.
La falla, catalogata come ZDI-CAN-30207 e comunicata il 26 marzo 2026, ha ricevuto un punteggio CVSS di 9,8 su 10. Si tratta di un valore vicino al massimo, indicativo di un rischio molto elevato. Il punto critico è la modalità di attacco: non richiederebbe alcuna azione da parte della vittima, rendendo l'eventuale exploit praticamente impossibile da prevenire.
Come funziona la falla
Secondo le informazioni disponibili, il meccanismo sfrutterebbe il processo automatico con cui Telegram analizza gli sticker per generarne l'anteprima. Un file costruito ad hoc potrebbe attivare l'esecuzione di codice direttamente sul dispositivo che lo riceve. Un approccio già osservato in passato su altre piattaforme di messaggistica, ma qui applicato a un elemento diverso rispetto a immagini o audio.
In caso di sfruttamento, un attaccante potrebbe operare con i permessi dell'app, accedendo a conversazioni, file condivisi e dati di sessione. Questo renderebbe poco rilevanti anche le protezioni aggiuntive, come le chat segrete, perché la compromissione avverrebbe a livello del dispositivo.
Un aspetto che preoccupa riguarda l'assenza di segnali evidenti. Non sarebbero presenti indicatori di compromissione, né anomalie facilmente rilevabili. L'eventuale attacco potrebbe quindi passare inosservato sia agli utenti sia ai sistemi di monitoraggio aziendali. Le versioni coinvolte includerebbero Telegram per Android e la versione desktop per Linux.
Telegram ha risposto pubblicamente respingendo la segnalazione. L'azienda sostiene che gli sticker vengano validati lato server prima della distribuzione e che questo impedisca l'uso di file malevoli. Il tweet di risposta non entra tuttavia nei dettagli tecnici del processo di validazione, lasciando aperti alcuni interrogativi sulla possibilità di aggirare i controlli.
Telegram, tra l'altro, non è nuova a vulnerabilità simili. Il team di Shielder nel 2021 aveva segnalato una serie di falle, poi corrette, nel fork personalizzato della libreria rLottie: si trattava, anche in quel caso, di una libreria usata per il rendering degli sticker, ma solo della serie Lottie.
Nel frattempo, anche l'Agenzia per la cybersicurezza nazionale italiana ha diffuso un avviso tramite il proprio CSIRT, sottolineando la potenziale gravità del problema qualora venisse confermato. Telegram ha ora un po' di tempo per distribuire un'eventuale patch: la divulgazione completa dell'exploit da parte di TrendAI è prevista entro 120 giorni dalla segnalazione, con una scadenza fissata al 24 luglio 2026.
Sul fronte delle contromisure, le opzioni risultano limitate. La disattivazione del download automatico dei media non risolve il problema, poiché l'elaborazione degli sticker avverrebbe comunque. In via precauzionale si può valutare la disistallazione dell'app e l'uso della versione web tramite browser aggiornato, che offre un maggiore isolamento; gli account business possono invece limitare la ricezione dei messaggi ai contatti fidati.
Voi che cosa ne pensate? Usate Telegram? E adotterete delle contromisure oppure vi fidate delle parole della compagnia? Diteci la vostra nei commenti qua sotto.
