Telegram: Hickhack um kritische oder hochriskante Sicherheitslücke

Am vergangenen Wochenende berichteten mehrere Medien über eine mutmaßlich kritische Zero-Click-Sicherheitslücke im Messenger Telegram. IT-Forscher der renommierten Zero-Day-Initiative (ZDI) von Trend Micro sind darauf gestoßen. Telegram hat gegenüber der italienischen IT-Sicherheitsbehörde Agenzia per la Cybersicurezza Nazionale (ACN) jedoch widersprochen, die Sicherheitslücke gebe es nicht.

Bei der Zero-Day-Initiative findet sich der Eintrag ZDI-CAN-30207 vom Donnerstag vergangener Woche. Dem ist lediglich das betroffene Programm (Telegram) und die Risikoeinstufung nach CVSS (inzwischen 7.0) zu entnehmen. Bis zum 24. Juli 2026 gibt die ZDI Telegram im Rahmen des Responsible-Disclosure-Prozesses Zeit, die Lücke zu stopfen. Danach veröffentlicht die ZDI die Informationen zur Schwachstelle und teilt ihr eine CVE-Nummer zu.

Die italienische Cybersicherheitsbehörde ACN hat am Wochenende eine Warnung vor der Telegram-Lücke veröffentlicht. Darin finden sich nähere Informationen: Eine Zero-Click-Sicherheitslücke in der Android- und Linux-Version des Messengers ermöglicht Angreifern, mittels „animierter Sticker“ verwundbaren Versionen Schadcode unterzuschieben und auszuführen – ohne dass Nutzer oder Nutzerinnen interagieren oder etwas bestätigen müssten. Das Problem beruht auf der automatischen Verarbeitung dieser Mediendateien in Telegram. Angreifer können so die Kontrolle über das betroffene Gerät erlangen und Zugriff auf sensible Daten wie Nachrichten, Kontakte oder aktive Sessions. Die ursprüngliche Risikoeinstufung der Sicherheitslücke durch die ZDI lag daher bei einem CVSS-Wert von 9.8 bei „kritisch“.

Telegram: Lücke existiert nicht

Die ACN hat das Gespräch mit Telegram gesucht und im Laufe des Montags dieser Woche die Sicherheitsmitteilung aktualisiert. Demnach hat Telegram die Existenz der Lücke offiziell dementiert. Jeder auf die Plattform hochgeladene Sticker werde vor der Verteilung an Client-Apps auf den Servern validiert und gescannt. Dieser zentrale Filterprozess verhindere daher die Nutzung von sorgsam präparierten animierten Stickern zum Ausnutzen von Schwachstellen. Es sei technisch unmöglich, Schadcode auf diesem Weg auszuführen.

Inzwischen hat die ZDI den Schweregrad mit der Begründung auf Mastodon von serverseitigen Gegenmaßnahmen seitens Telegram ebenfalls angepasst, mit einem CVSS-Wert von 7.0 erreicht er noch die Risikostufe „hoch“. Die ACN schlägt weiterhin vor, in Telegram den Empfang von Nachrichten von neuen Gesprächspartnern einzuschränken und in den Einstellungen etwa auf das eigene Adressbuch oder Premium-Nutzer zu begrenzen.

Es fehlen Details zu den Telegram-Aussagen, die eine bessere Einordnung ermöglichen. Auf eine Anfrage von heise security hierzu hat Telegram noch nicht reagiert.

Grundsätzlich schließt ein serverseitiger Scan eine derartige Sicherheitslücke nicht, er erschwert höchstens ihre Ausnutzung. Die bisherige Erklärung gegenüber der ACN legt nahe, dass es sich nicht um einen Filter handelt, der alle Sticker verwirft, sondern um eine Art Malware-Scan. Solche Viren-Scans lassen sich oftmals durch Verschleierung oder geschickte Störungen in den Dateien austricksen, etwa wenn die Parser des Scanners mit den vorliegenden Daten nicht mehr zurechtkommen, die Zielsoftware zum Verarbeiten aber schon.

(dmk)