[Новость дополнена в 20:50 28.03.2026]
Мессенджер Telegram подвержен критической уязвимости, которая позволяет хакерам захватывать аккаунты без каких‑либо действий со стороны пользователя. Брешь зарегистрирована в базе проекта Zero Day Initiative и получила 9,8 балла из 10 по общей шкале оценки опасности CVSS. Обнаружение произошло 26 марта 2026 года, данные пока не раскрыты — они могут быть опубликованы после 24 июля. Однако эксперты уже подтвердили, что для эксплуатации уязвимости не требуется взаимодействия с жертвой, а сложность атаки оценивается как низкая. В числе первых на угрозу обратили внимание специалисты российских компаний Positive Technologies и Kaspersky.
Zero‑click и медиафайлы: как работает атака
Ведущий эксперт по управлению уязвимостями PT Expert Security Center в Positive Technologies Александр Леонов пояснил, что атакующий может отправить жертве специально подготовленный зловредный медиафайл. При просмотре этого файла, даже без клика на него, на устройстве может выполняться вредоносный код.
Основываясь на векторе уязвимости, мы предполагаем, что один из возможных вариантов эксплуатации может заключаться в том, что атакующий пришлет жертве специально подготовленный зловредный медиафайл. У пользователя при просмотре этого файла, даже без клика на него, может на устройстве выполняться зловредный код
Теоретически, добавил эксперт, хакеры могут получить полный контроль над мессенджером или полный доступ к пользовательскому аккаунту, включая переписку. Согласно данным от взломщиков, для атаки на Android и Linux достаточно отправить анимированный стикер — это приводит к удалённому выполнению кода (zero‑click RCE). Рабочий эксплойт и генератор файлов уже существуют.
Уязвимость уже продаётся, патча пока нет
В самом Telegram появились публикации о продаже информации об этой бреши. Эксперт Kaspersky ICS CERT Владимир Дащенко в своём Telegram‑канале назвал ситуацию «коротким, но ярким весельем», если данные не окажутся скамом.
Если не скам, то точно быстро закроют [уязвимость]. Но если правда, то будет «веселье». Короткое, но яркое
На момент публикации официальный патч от разработчиков Telegram отсутствует. Уязвимость числится в категории Upcoming с пометкой, что подробности будут раскрыты после 24 июля 2026 года, чтобы у компании было время на исправление.
Характеристики уязвимости (ZDI‑CAN‑30207)
- Оценка по CVSS 3.1: 9,8 (критический уровень)
- Вектор атаки: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
- Тип: zero‑click, удалённое выполнение кода (RCE)
- Затронутые платформы: Android, Linux
- Требуемое действие злоумышленника: отправить анимированный стикер
- Статус исправления: нет патча, подтверждённая уязвимость
- Дата обнаружения: 26 марта 2026 года
- Плановое раскрытие деталей: после 24 июля 2026 года
Для сравнения: предыдущие критические уязвимости в Telegram требовали хотя бы минимального взаимодействия пользователя (например, перехода по ссылке). Zero‑click RCE встречается крайне редко и считается одним из самых опасных классов уязвимостей в мессенджерах. Оценка 9,8 балла приближается к максимальной (10) и свидетельствует о возможности полной компрометации устройства без ведома владельца.
Дополнено. Пресс-служба мессенджера Telegram дала комментарий www1.ru:
Такой уязвимости нет. Этот исследователь ложно утверждает, что повреждённый стикер Telegram может использоваться как вектор атаки — что полностью игнорирует тот факт, что все стикеры, загружаемые в Telegram, проверяются его серверами перед тем, как их смогут воспроизвести приложения
Читайте ещё материалы по теме:
- Доступность Telegram в России снизилась до 19%, WhatsApp — до 10%
- Эксперт Клименко: Telegram заблокируют, повторения 2018 года не будет — у Роскомнадзора теперь есть ТСПУ
- Россияне массово возвращаются к электронной почте из-за сбоев Telegram
