Panamská společnost Telegram umožňuje bezpečnou komunikaci s maximálním možným soukromím svých uživatelů. Komunity v oblasti kybernetické bezpečnosti se samozřejmě snaží nalézt zranitelnosti v aplikacích této služby a dne 26. 3. 2026 mělo dojít k nalezení závažné zranitelnosti „Zero-Click“. Kolem této chyby se objevilo spoustu informací a spekulací. Kde je ale pravda a skutečně mobilní aplikace Telegramu obsahují tuto zranitelnost?
Výzkumník Michael DePlante (@izobashi) ze společnosti TrendAI Zero Day Initiative měl narazit na bezpečnostní chybu se závažností CVSS 9.8. Získala evidenční označení ZDI-CAN-30207 a mělo by se tedy jednat o závažnou chybu, ale naštěstí neměla být útočníky zneužívána. Komunita se snažila výzkumníka hlášení podrobněji ověřit a měl se vyjádřit, že zranitelnost je ve funkci samolepek mobilních aplikacích pro Android a iOS. Funkci má jít zneužít a nahradit samolepku vektorem pro získání citlivých dat.
Společnost Telegram měla tvrzení ověřit a následně vyvrátit. Pravděpodobně tedy hlášení není pravdivé a samozřejmě by se nejednalo o ojedinělý případ, kdy si výzkumník bezpečnostní chybu vymyslel. Vyjádření Telegramu dává smysl, ale na druhou stranu možná došlo k nepochopení. Výzkumníka jsem nijak nekontaktoval, ale možná se jedná o chybu v neoficiálním Telegram klientu, protože těch je dost a již jsem viděl klienta s implementací vlastní služby pro samolepky. Upravené mobilní aplikace samozřejmě mohou nést stejné jméno, jako původní aplikace.
„Tato zranitelnost neexistuje. Výzkumník falešně tvrdí, že nálepka Telegramu může být použita jako vektor útoku, a přitom zcela ignoruje skutečnost, že všechny nálepky nahrané do Telegramu jsou před tím, než je lze přehrát v aplikacích Telegramu, zkontrolovány na serverech.“ tvrdí Telegram ve svém vyjádření
Možná ale došlo jen k tzv. „informačnímu šumu“. Objevují se totiž tvrzení, že v aplikacích skutečně byla nalezena bezpečnostní chyba, i když ve skutečnosti se nejedná o chybu „Zero-Click“. Zranitelnost měla být Telegramu legitimní cestou nahlášena a služba má pracovat na opravách.
Co teď jako uživatel mohu dělat? Není důvod panikařit. Pokud Telegram vše ověřil a nedošlo k nalezení zmíněného problému, pak by mělo být vše v pořádku. Pokud nějaká chyba v aplikacích skutečně byla, již určitě byla nebo bude v brzké době opravena. To je důvod, proč je dobré aktualizovat jakoukoliv aplikaci, protože právě v aktualizacích dochází k důležitým opravám chyb.
Běžné konverzace v Telegramu umí blokovat screenshoty a ukládání
Zdroj: zerodayinitiative.com, securityonline.info, x.com 1/2, news.ycombinator.com, izobashi.info
