Российский брокер эксплойтов Operation Zero предложил до $4 млн за zero-day уязвимость в приложении Telegram — а именно, за полный набор атакующих инструментов, позволяющих удалённо взломать мессенджер.
Объявление появилось 20 марта в социальной сети X*. Общая сумма вознаграждений составила $6 млн, причём максимальная сумма — $4 млн — обещана за «full chain» атаку. Это означает комплексную уязвимость, позволяющую получить полный контроль над устройством жертвы без её участия.
Также Operation Zero пообещал $1,5 млн за эксплойт, не требующий действий со стороны пользователя (0-click RCE), и $500 тыс. за уязвимость, для срабатывания которой нужно одно действие, например, открытие сообщения (1-click RCE). Предложения касаются всех версий Telegram — Android, iOS и Windows.
Предложение столь крупной суммы за уязвимость в Telegram специалисты связывают с высоким уровнем защищённости мессенджера. Zero-day-эксплойты редки, дорогие и опасны, так как используются до того, как разработчики успевают закрыть уязвимость. Это делает Telegram приоритетной целью для атак.
В ответ на публикации с заявлением выступил представитель Telegram Реми Вог. По его словам, платформа никогда не подвергалась успешным zero-click атакам, а факт предложения награды свидетельствует о том, что подобные уязвимости до сих пор не обнаружены.
В Telegram также подчеркнули, что исходный код приложения и протоколы шифрования открыты и доступны для проверки независимыми исследователями. Кроме того, Telegram — единственный крупный мессенджер с подтверждённой сборкой приложений для Android и iOS, что позволяет убедиться в их подлинности.
В компании также напомнили, что закрытые мессенджеры, такие как WhatsApp, уже становились жертвами 0-click атак в 2024, 2019 и 2018 годах. Закрытый исходный код делает такие приложения более уязвимыми, поскольку эксплойты в них, как правило, первыми находят преступники, а не специалисты по безопасности.
ptsecurity.com/ru-ru/research/threatscape
forbes.com/sites/daveywinder/2025/03/22/russian-broker-offers-4-million-for-telegram-zero-day-app-attack
Объявление появилось 20 марта в социальной сети X*. Общая сумма вознаграждений составила $6 млн, причём максимальная сумма — $4 млн — обещана за «full chain» атаку. Это означает комплексную уязвимость, позволяющую получить полный контроль над устройством жертвы без её участия.
Также Operation Zero пообещал $1,5 млн за эксплойт, не требующий действий со стороны пользователя (0-click RCE), и $500 тыс. за уязвимость, для срабатывания которой нужно одно действие, например, открытие сообщения (1-click RCE). Предложения касаются всех версий Telegram — Android, iOS и Windows.
Предложение столь крупной суммы за уязвимость в Telegram специалисты связывают с высоким уровнем защищённости мессенджера. Zero-day-эксплойты редки, дорогие и опасны, так как используются до того, как разработчики успевают закрыть уязвимость. Это делает Telegram приоритетной целью для атак.
В ответ на публикации с заявлением выступил представитель Telegram Реми Вог. По его словам, платформа никогда не подвергалась успешным zero-click атакам, а факт предложения награды свидетельствует о том, что подобные уязвимости до сих пор не обнаружены.
В Telegram также подчеркнули, что исходный код приложения и протоколы шифрования открыты и доступны для проверки независимыми исследователями. Кроме того, Telegram — единственный крупный мессенджер с подтверждённой сборкой приложений для Android и iOS, что позволяет убедиться в их подлинности.
В компании также напомнили, что закрытые мессенджеры, такие как WhatsApp, уже становились жертвами 0-click атак в 2024, 2019 и 2018 годах. Закрытый исходный код делает такие приложения более уязвимыми, поскольку эксплойты в них, как правило, первыми находят преступники, а не специалисты по безопасности.
ptsecurity.com/ru-ru/research/threatscape
forbes.com/sites/daveywinder/2025/03/22/russian-broker-offers-4-million-for-telegram-zero-day-app-attack
особенно спецслужбы, для них это вообще не деньги
