נחשפה פרצת Zero-Click קריטית בטלגרם
קהילת הסייבר העולמית נדרכה בעקבות דיווח על פרצת אבטחה קריטית באפליקציית המסרים המוצפנת טלגרם, זאת בזמן שהחברה עצמה הכחישה את קיומה. הפרצה, שהתגלתה על ידי מייקל דה-פלנטה מיוזמת Zero Day Initiative (ZDI) של TrendAITM, קיבלה ציון חומרה גבוה במיוחד של 9.8 בסולם CVSS.
הפרצה, שסומנה כ־ZDI-CAN-30207, דווחה לטלגרם ב־26 במרס 2026 ומתוארת כתרחיש הגרוע ביותר מבחינת פרטיות דיגיטלית משום שהיא מאפשרת תקיפה מרחוק ללא צורך באימות וללא כל אינטראקציה מצד המשתמש. מדובר בחולשה מסוג Zero-Click, אחת החולשות הקריטיות בעולם אפליקציות המסרים המיידים.
לפי פרטי הניתוח, הווקטור הטכני של הפרצה מלמד על סיכון רחב היקף ליותר ממיליארד משתמשי הפלטפורמה, שכן התקיפה מתבצעת מרחוק דרך האינטרנט, אינה מצריכה תנאים מורכבים או עקיפה מתקדמת, אינה מחייבת הרשאות או חשבון מצד התוקף, אינה מצריכה כל פעולה מצד המשתמש ואף מאפשרת שליטה מלאה של התוקף, כולל גניבת מידע, שינוי קבצים והשבתת שירותים.
הפרטים הטכניים המלאים טרם פורסמו כדי למנוע ניצול מיידי. לפי ZDI חשיפה מלאה צפויה ב־24 ביולי 2026, מה שמעניק לטלגרם חלון זמן של כארבעה חודשים לפיתוח תיקון והפצתו.
בעולם הסייבר מציינים, כי פרצות באפליקציות מסרים הן יעד מבוקש במיוחד בקרב גורמים מדינתיים וקבוצות ריגול, במיוחד בפגיעות ברמת חומרה כה גבוהה. ההערכה היא כי מדובר בליקוי בסיסי באופן שבו האפליקציה מטפלת בקלט נכנס, למשל קבצי מדיה או בקשות אוטומטיות.
עד לפרסום תיקון רשמי, מומחי אבטחה ממליצים למשתמשים לנקוט בפעולות אלה:
- להפעיל עדכונים אוטומטיים בכל הפלטפורמות, דסקטופ, iOS ואנדרואיד.
- להגביל קבלת הודעות וקבצים לאנשי קשר בלבד.
- לעקוב אחר עדכונים רשמיים של Telegram, כולל עדכוני חירום.
בתגובה לפניית התקשורת דחתה טלגרם את הטענות: "הפגם הזה אינו קיים. החוקר טוען בטעות כי אפשר להשתמש במדבקה פגומה כווקטור תקיפה. הטענה מתעלמת לחלוטין מהאימות שעוברות בשרתים כל המדבקות בטלגרם לפני שהן מופעלות באפליקציה."
לדברי מיכאל קונדרשין, ארכיטקט פתרונות סייבר ב־TrendAI, "הפגיעות שהתגלתה לאחרונה במערכת המסנג'ר טלגרם דורגה ברמת 9.8, המציינת את רמת האיום הגבוהה ביותר. קיים סיכון שיצוץ כלי פריצה מרחוק שיכול לפגוע במשתמשי טלגרם. TrendAI עובדת על הגנות מפני מתקפה פוטנציאלית זו, ואנו ממליצים לכל המשתמשים להתקין מייד את כל עדכוני טלגרם שיפורסמו בחודשיים הקרובים. ערנות כזו תמנע מתוקפים לנצל את הפגיעות."
תמונת מסך פירצה בטלגרם. TrendAI
----------
