Вчера пролетела весьма интригующая, но от этого не менее тревожная новость о том, что в нашей любимой Телеге внезапно обнаружилась критическая уязвимость нулевого дня 🚨. И первая моя реакция была вполне предсказуемой: блииииин, вообще непонятно, что это за зверь, как он работает под капотом, а самое главное - правда ли это вообще, или очередной вброс ради накрутки просмотров. Но если пойти ковырять первоисточники, картина вырисовывается крайне занимательная. В официальном реестре Zero Day Initiative, а это, на секундочку, одна из самых авторитетных и уважаемых в мире программ по поиску уязвимостей, которой точно нет смысла разгонять дешевые фейки, действительно появилась свежая запись с номенклатурным номером ZDI-CAN-30207. И степень опасности этой дыры оценивается в суровые 9,8 балла из 10 возможных по международной шкале CVSS. Такие цифры не раздают за банальный фишинг, кривые ссылки или социальную инженерию. Оценка 9,8 означает, что потенциальный злоумышленник может провести атаку абсолютно удаленно через сеть, ему для этого не нужны ни ваши пароли, ни какие-либо особые привилегии в системе. А самое главное и пугающее во всей этой архитектуре - взлом происходит по принципу zero-click, то есть вообще без малейшего участия самой жертвы. Вам не нужно никуда нажимать, ничего скачивать и ни с кем переписываться, чтобы ваш аккаунт или само устройство были скомпрометированы. Что касается дальнейшего развития событий, то по жестким внутренним регламентам платформы ZDI, у команды разработчиков мессенджера сейчас пошел обратный отсчет. Им дали ровно 120 дней на то, чтобы залатать эту брешь, так как дедлайн установлен до 24 июля. Если к этому моменту спасительный патч так и не выкатят в релиз, исследователи со спокойной совестью выложат все технические детали и механику эксплуатации бага в полностью открытый доступ, и вот тогда в сети начнется настоящий Дикий Запад. Стоит ли прямо сейчас впадать в паранойю и сносить приложение? Я думаю, что пока нет. Как правило, такие уязвимости находят белые хакеры, и информация передается разработчикам кулуарно, чтобы не дать реальным злоумышленникам готовый инструмент до выхода обновления. Громкие формулировки про массовые взломы сейчас были бы явным преувеличением, но сам прецедент заставляет в очередной раз задуматься о том, что абсолютно неуязвимых систем просто не существует, какими бы криптографически защищенными они себя ни позиционировали.