Российский брокер предлагает $4 млн за взлом Telegram без участия пользователя
Operation Zero объявила охоту на уязвимости мессенджере.
Российский брокер эксплойтов Operation Zero предложил до $4 млн за zero-day уязвимость в приложении Telegram — а именно, за полный набор атакующих инструментов, позволяющих удалённо взломать мессенджер.
Объявление появилось 20 марта в социальной сети X*. Общая сумма вознаграждений составила $6 млн, причём максимальная сумма — $4 млн — обещана за «full chain» атаку. Это означает комплексную уязвимость, позволяющую получить полный контроль над устройством жертвы без её участия.
Также Operation Zero пообещал $1,5 млн за эксплойт, не требующий действий со стороны пользователя (0-click RCE), и $500 тыс. за уязвимость, для срабатывания которой нужно одно действие, например, открытие сообщения (1-click RCE). Предложения касаются всех версий Telegram — Android, iOS и Windows.
Предложение столь крупной суммы за уязвимость в Telegram специалисты связывают с высоким уровнем защищённости мессенджера. Zero-day-эксплойты редки, дорогие и опасны, так как используются до того, как разработчики успевают закрыть уязвимость. Это делает Telegram приоритетной целью для атак.
В ответ на публикации с заявлением выступил представитель Telegram Реми Вог. По его словам, платформа никогда не подвергалась успешным zero-click атакам, а факт предложения награды свидетельствует о том, что подобные уязвимости до сих пор не обнаружены.
В Telegram также подчеркнули, что исходный код приложения и протоколы шифрования открыты и доступны для проверки независимыми исследователями. Кроме того, Telegram — единственный крупный мессенджер с подтверждённой сборкой приложений для Android и iOS, что позволяет убедиться в их подлинности.
В компании также напомнили, что закрытые мессенджеры, такие как WhatsApp, уже становились жертвами 0-click атак в 2024, 2019 и 2018 годах. Закрытый исходный код делает такие приложения более уязвимыми, поскольку эксплойты в них, как правило, первыми находят преступники, а не специалисты по безопасности.
* Социальная сеть запрещена на территории Российской Федерации.