Presunta falla di sicurezza su Telegram, ma la piattaforma smentisce: “Ogni sticker viene controllato”

L'Agenzia per la cybersicurezza nazionale (ACN) ha recentemente diffuso una nota in cui spiega di aver intercettato online alcune notizie relative a una presunta vulnerabilità 0-click su Telegram. Si tratta di una falla di sicurezza che secondo quanto sospettato dall'ACN permetterebbe agli utenti malintenzionati di eseguire da remoto codici arbitrari su dispositivi Android e Linux semplicemente inviando contenti multimediali corrotti. Basterebbe anche un semplice sticker.

Anche se Telegram – come riporta l'aggiornamento pubblicato oggi stesso, 30 marzo, dall'ACN – ha formalmente negato la presenza di questa vulnerabilità, vale la pena capire cosa significa vulnerabilità 0-click e perché, qualora presente, su un'app di messaggistica così diffusa come Telegram potrebbe esporre gli utenti a serie minacce in termini di sicurezza.

La segnalazione di una presunta falla di sicurezza su Telegram

A segnalare la presunta falla di sicurezza di Telegram è stato il CSIRT Italia, il Computer Security Incident Response Team Italia, ovvero la sezione operativa dell'Agenzia per la cybersicurezza nazionale che monitora e interviene in caso di eventuali incidenti informatici.

Nella sezione del sito in cui vengono costantemente pubblicate le segnalazioni sulle presunte anomalie o falle di sicurezza, qualche giorno fa, il 28 marzo, è stata diffusa anche la notizia di una presunta vulnerabilità 0-click nella piattaforma di Telegram intercettata dai ricercatori di Zero Day Initiative (ZDI) di Trend Micro, uno dei più importanti centri di monitoraggio di cybersicurezza.

Cos'è una vulnerabilità 0-click

Nell'alert il CSIRT Italia spiega che secondo Zero Day Iniziative potrebbe esserci "una vulnerabilità 0‑click – di tipo “Remote Code” Execution” con score CVSS v3.x pari a 9.8 – che interesserebbe la nota applicazione di messaggistica istantanea Telegram, nelle versioni per Android e Linux".

Una vulnerabilità 0-click, come si intuisce dal nome, è una falla di sicurezza che si apre anche senza che l'utente faccia nulla, per questo viene detta "o-click". Si tratta di un tipo di vulnerabilità molto insidiosa perché non dipende da una risposta sbagliata e quindi prevedibile dell'utente vittima.

La nota spiega infatti che attraverso questa falla un utente malintenzionato potrebbe eseguire codici arbitrari da remoto semplicemente inviando un contenuto multimediale, anche un semplice sticker, senza bisogno che quest'ultimo faccia nulla. In sostanza il semplice invio di un contenuto simile corrotto potrebbe creare una porta nel dispositivo della vittima, con conseguente "accesso ai dati sensibili, inclusi messaggi, contatti e sessioni attive relativi all'account Telegram", si legge nella nota.

La smentita di Telegram

Anche se la notizia può sembrare molto allarmante, soprattutto se consideriamo che stiamo parlando di una delle app di messaggistica istantanea più usata al mondo, è importante specificare che Telegram stesso ha replicato alla segnalazione degli esperti negando categoricamente la possibilità di una falla di sicurezza di questo tipo sulla piattaforma. Il fornitore ha infatti rassicurato che "ogni sticker caricato sulla piattaforma viene sottoposto a una procedura di validazione obbligatoria sui propri server prima di essere distribuito alle applicazioni client".

Questo meccanismo quindi dovrebbe bloccare in partenza eventuali sticker corrotti "rendendo tecnicamente impossibile l'esecuzione di codice malevolo tramite tale metodo", spiega il CSRIT Italia, che tuttavia ricorda come in attesa di eventuali nuovi sviluppi e a prescindere da questa vicenda gli utenti di Telegram possano in ogni caso limitare la ricezione di messaggi indesiderati andando nelle opzioni di Privacy, dall'area Messaggi.