Basta ricevere uno sticker su Telegram. Il dispositivo è già compromesso, l'utente non ha fatto niente.

È questo il meccanismo descritto da Michael DePlante, ricercatore del Trend Micro Zero Day Initiative noto come @izobashi, che il 26 marzo ha segnalato a Telegram la vulnerabilità tracciata come ZDI-CAN-30207. Al momento non esiste patch.

Come funziona

Il problema sta nel parsing degli sticker animati. Quando un file di questo tipo arriva nella chat, il client lo elabora automaticamente per generare l'anteprima, prima ancora che l'utente tocchi qualcosa. Un file appositamente manipolato può sfruttare questo passaggio per eseguire codice arbitrario.

Sono interessate Telegram per Android e Telegram Desktop per Linux. Windows e iOS non risultano coinvolti, almeno stando a quanto è stato pubblicato finora.

Le conseguenze potenziali sono quelle peggiori: accesso completo al dispositivo, messaggi, contatti, sessioni aperte. Tutto questo senza che l'utente se ne accorga.

CVSS 9.8 o 7.0?

I media hanno riportato un CVSS di 9.8, con vettore AV:N/AC:L/PR:N/UI:N: attacco in rete, senza complessità, senza privilegi richiesti, senza che l'utente faccia nulla. Uno scenario da worst-case assoluto.

Il portale ZDI Upcoming Advisories riporta invece CVSS 7.0 con vettore AV:L/AC:H/UI:R: vettore locale, alta complessità, interazione utente necessaria. Uno scenario completamente diverso, che implica condizioni molto più specifiche per sfruttare la vulnerabilità.

Non è chiaro da dove arrivi il 9.8 circolato ovunque. I dettagli tecnici restano bloccati fino al 24 luglio 2026, quando ZDI è obbligata a fare la disclosure completa dopo i 120 giorni. Chi afferma di sapere esattamente com'è strutturato l'exploit sta speculando.

Telegram nega

Il 30 marzo l'azienda ha risposto sul suo account X:

"This flaw does not exist. This researcher falsely claims that a corrupted Telegram sticker could be used as an attack vector — which completely disregards that all stickers uploaded to Telegram are validated by its servers before they can be played by Telegram apps."

La tesi è che tutti gli sticker passano per validazione server-side prima di arrivare ai client. Un file corrotto verrebbe filtrato lì, prima ancora di raggiungere l'app. Se fosse effettivamente così, l'attacco sarebbe impossibile nel funzionamento normale del servizio.

ZDI non ha ritirato l'advisory.

Il CSIRT italiano non si fida della smentita

Stesso giorno, l'Agenzia per la Cybersicurezza Nazionale ha emesso l'alert AL01/260328/CSIRT-ITA, severità alta. Il CSIRT evidentemente non ha trovato la risposta di Telegram convincente abbastanza da non allertare.

Nell'alert c'è un punto che vale la pena sottolineare: disabilitare il download automatico dei media non protegge. La vulnerabilità si attiva durante il parsing, non durante il download. Chi ha già quella impostazione attiva e pensa di essere al sicuro probabilmente si sbaglia.

Cosa fare

Non esiste una mitigazione pulita finché non arriva una patch. Le opzioni disponibili hanno tutte un prezzo.

Passare a Telegram Web su un browser aggiornato è la strada più sensata: il sandboxing del browser isola il parsing dal resto del sistema in modo che l'app nativa non riesce a fare. Non è una soluzione definitiva, ma abbassa concretamente il rischio.

Chi usa Telegram in ambito aziendale può limitare la ricezione ai soli contatti verificati, riducendo la superficie di attacco. Richiede Telegram Premium e taglia fuori una parte delle comunicazioni normali.

Disinstallare l'app elimina il problema alla radice, ma è difficilmente compatibile con l'uso quotidiano per la maggior parte delle persone.

Circola già un exploit?

Secondo alcune fonti, Positive Technologies e Kaspersky avrebbero dichiarato che un exploit funzionante gira già in ambienti privati. Niente di pubblico è stato rilasciato e non ci sono IoC disponibili, quindi verificare se un sistema è già stato colpito è praticamente impossibile.

Vale la pena tenere presente che questo tipo di dichiarazione viene spesso da aziende che vendono prodotti di threat intelligence. Non vuol dire che sia falsa, ma che va contestualizzata.

Se l'attacco fosse davvero remoto e senza interazione come descritto dalla copertura mediatica, parliamo di una delle vulnerabilità più gravi mai trovate su una piattaforma con un miliardo di utenti attivi. Ma la discrepanza tra il CVSS 9.8 dei media e il 7.0 del portale ZDI è troppo grande per ignorarla, e i dettagli tecnici veri non ci sono ancora.

Il 24 luglio sapremo. Nel frattempo Telegram Web è l'unica scelta che ha senso.

Timeline

  • 26 marzo 2026: ZDI segnala la vulnerabilità a Telegram
  • 28 marzo 2026: la notizia inizia a circolare sui media internazionali
  • 30 marzo 2026: Telegram smentisce; ACN emette l'alert AL01/260328/CSIRT-ITA
  • 24 luglio 2026: scadenza disclosure pubblica ZDI

Fonti: Trend Micro Zero Day Initiative (ZDI-CAN-30207), ACN/CSIRT-ITA alert AL01/260328/CSIRT-ITA, SecurityOnline, CyberNews, CyberInsider