文章总结： 针对ZDI披露的Telegram零点击高危漏洞，Telegram官方予以否认。该漏洞据称可通过特制贴纸远程执行代码，但Telegram强调其服务器会验证所有上传内容，使此类攻击在技术上不可能。ZDI已将漏洞评分从9.8下调至7.0。在此期间，建议用户保持应用为最新版本，并可考虑使用网页版以获得更强隔离保护。 综合评分： 85 文章分类： 恶意软件,漏洞分析,网络安全,威胁情报,应用安全

Telegram 否认这个零点击高危 0day 漏洞的存在

代码卫士

2026年3月31日 18:05 北京

  聚焦源代码安全，网罗国内外最新资讯！

作者： Elizabeth Montalbano

编译：代码卫士

上周四，ZDI 发布文章称研究员 Michael DePlante发现Telegram Messenger中存在一个严重漏洞（内部编号ZDI-CAN-30207），可导致系统完全被劫持，影响10亿用户。漏洞完整细节计划在7月26日前公布。然而，Telegram却在社交媒体网站X上发帖，否认该漏洞的存在。这一情况引发轩然大波。ZDI曾为该漏洞赋予 CVSS 9.8分的严重级别评分，但在本周一将其下调至7.0分的高危级别。ZDI在X平台上发帖称，做出这一调整是为了反映“供应商在披露过程中所描述的服务器端缓解措施”。

虽然目前关于该漏洞的公开细节寥寥无几，但多份已发布的报告解释了为何该漏洞会获得如此危险的评级。意大利国家网络安全局发布警报（经由谷歌翻译）称，ZDI-CAN-30207漏洞可对Android和Linux版本的该应用实现疑似零点击、可通过网络远程执行的攻击，这种攻击能够执行任意代码、访问私人通信、实施监控、窃取敏感数据以及破坏设备功能。

当好贴纸变坏时

该漏洞的利用涉及使用Telegram中一个被篡改的贴纸 (sticker) 作为攻击载体。贴纸是经过特殊处理的媒体文件，用户在使用该应用聊天时常用它们来表达情感或代替短消息。

独立网络安全顾问 Carolina Vivianti 在Red Hot Cyber博客上发文指出：“攻击载体出奇地简单：动态贴纸。”她称该漏洞“极其令人不安”，因为要利用该漏洞实施攻击，用户在Telegram会话中无需点击或打开任何内容。她写道：“仅仅收到内容就足够了。无需确认，无需用户交互。系统会处理这些文件以生成预览图，而攻击恰恰就发生在这个阶段。”

然而，Telegram在X平台上反复声明称，通过贴纸进行此类攻击是不可能的，并声称这种说法“完全忽略了所有上传到Telegram的贴纸在能被Telegram应用播放之前，都会经过其服务器的验证”。

意大利国家网络安全局周一更新了告警并加入了Telegram的否认声明。更新内容写道：“根据这一官方立场，集中式过滤流程阻止了使用被篡改的贴纸作为攻击载体，使得通过此方法执行恶意代码在技术上成为不可能。”目前该机构并未立即回复更多漏洞信息相关问询。

Telegram面临更多麻烦？

Telegram采用消息加密机制，被许多人用于私人通信。因此，一个能让攻击者窃取数据、实施网络间谍活动及进行各种其它恶意行为的零点击漏洞，会对该平台造成巨大冲击。

事实上，威胁行动者可以利用即时通讯应用中的漏洞，针对通信内容可能具有战略或全球重要性的各类目标人物，包括记者、政治人物、政府官员、公司高管或企业用户。与此同时，Telegram的安全政策也使该公司深陷争议和法律纠纷。值得注意的是，首席执行官Pavel Durov于2024年被法国当局逮捕，原因是Telegram一直拒绝与执法机构共享除恐怖主义案件以外的数据，这一事件迫使该公司对其政策做出了调整。

此外，该应用在网络犯罪分子中也很受欢迎，他们认为可以在此进行恶意活动而无需担心被检测到；事实上，他们经常设立专门的Telegram频道作为非法活动的基础。

防御措施

在Telegram改变否认该漏洞存在的立场之前，公众在7月之前不太可能知晓该漏洞不仅存在而且如ZDI所担心的那样危险。在此之前，Telegram用户应安装未来几个月发布的所有应用更新，并在补丁出现时立即应用任何为修复该漏洞而部署的补丁，以确保自己使用的是最安全的版本。

在情况变得更加明朗之前，Vivianti为Telegram的企业用户和个人用户分别提出了防御建议。对于前者，她建议通过将消息接收限制为仅限受信任的联系人或高级用户来减少攻击面。她认为，虽然这么做会影响通信流程，但能降低暴露风险。对于普通公众，由于仅禁用自动下载是不够的，因此她建议用户暂时卸载该应用，或通过最新版本的浏览器使用Telegram网页版，从而“利用现代浏览器的沙盒架构”。她表示，与原生客户端相比，网页提供了更强的隔离层。

开源卫士试用地址：https://oss.qianxin.com/#/login

代码卫士试用地址：https://sast.qianxin.com/#/login

推荐阅读

Telegram 创始人 Pavel Durov 因缺乏内容审核被捕

Telegram 0day可导致攻击者将恶意安卓APK以视频形式发送

Telegram 修复Windows 版中的0day漏洞

原文链接

https://www.darkreading.com/application-security/storm-brews-critical-no-click-telegram-flaw

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 “赞” 吧~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：代码卫士 《Telegram 否认这个零点击高危 0day 漏洞的存在》