Una vulnerabilità su Telegram potenzialmente molto grave è tornata a far parlare di sé, e stavolta il livello di allarme è davvero alto. La segnalazione arriva da un ricercatore della TrendAI Micro Zero Day Initiative, che ha individuato un possibile problema nella gestione degli sticker animati nelle versioni dell’app per Linux e Android. La falla, catalogata come ZDI-CAN-30207 e comunicata il 26 marzo 2026, ha ottenuto un punteggio CVSS di 9,8 su 10. Praticamente il massimo della scala di rischio.
Il dettaglio più inquietante riguarda la modalità di attacco: non servirebbe alcuna azione da parte della vittima. Nessun clic, nessun download consapevole. Basta ricevere uno sticker costruito ad hoc perché il codice malevolo possa potenzialmente entrare in esecuzione sul dispositivo. Il meccanismo sfrutterebbe il processo automatico con cui Telegram analizza gli sticker per generarne l’anteprima. Un tipo di attacco già visto in passato su altre piattaforme di messaggistica, ma qui applicato a un elemento che normalmente nessuno considera pericoloso.
Se la vulnerabilità venisse effettivamente sfruttata, un attaccante potrebbe operare con i permessi dell’app, ottenendo accesso a conversazioni, file condivisi e dati di sessione. Anche le chat segrete diventerebbero poco utili come protezione, perché la compromissione avverrebbe a livello del dispositivo stesso. E la cosa peggiore è che non ci sarebbero segnali evidenti: nessun indicatore di compromissione, nessuna anomalia facilmente rilevabile. Un eventuale attacco potrebbe passare completamente inosservato.
La risposta di Telegram e i precedenti
Telegram ha risposto pubblicamente respingendo la segnalazione. L’azienda sostiene che gli sticker vengano validati lato server prima della distribuzione e che questo meccanismo impedirebbe l’uso di file malevoli. La risposta però non entra nei dettagli tecnici del processo di validazione, e questo lascia aperti diversi interrogativi sulla possibilità di aggirare quei controlli.
Vale la pena ricordare che Telegram non è nuova a problemi di questo tipo. Nel 2021, il team di Shielder aveva segnalato una serie di falle nella libreria rLottie, usata proprio per il rendering degli sticker della serie Lottie. Quelle vulnerabilità furono poi corrette, ma il parallelo è comunque significativo.
Nel frattempo, anche l’Agenzia per la cybersicurezza nazionale italiana ha diffuso un avviso tramite il proprio CSIRT, sottolineando la potenziale gravità del problema qualora venisse confermato. La divulgazione completa dell’exploit da parte di TrendAI è prevista entro 120 giorni dalla segnalazione, con una scadenza fissata al 24 luglio 2026. Telegram ha quindi ancora un po’ di tempo per distribuire un’eventuale patch.
Contromisure possibili, ma limitate
Sul fronte delle contromisure, le opzioni a disposizione degli utenti risultano piuttosto limitate. Disattivare il download automatico dei media, ad esempio, non risolverebbe il problema, perché l’elaborazione degli sticker avverrebbe comunque in automatico. Chi volesse adottare un approccio più prudente potrebbe valutare la disinstallazione dell’app e l’utilizzo della versione web tramite browser aggiornato, che offre un maggiore livello di isolamento rispetto all’applicazione nativa. Gli account business, invece, hanno la possibilità di limitare la ricezione dei messaggi ai soli contatti fidati, riducendo così la superficie di attacco.
