Nach einer Warnung der italienischen Cybersicherheitsbehörde, die ZDI-CAN-30207 beschreibt, ermöglicht die Schwachstelle einen mutmaßlich klicklosen, netzwerkbasierten Angriff aus der Ferne auf die Android- und Linux-Versionen der App. Angreifer könnten damit beliebigen Code ausführen, auf private Kommunikation zugreifen, Überwachung betreiben, sensible Daten stehlen und die Funktion von Geräten stören.

Als Angriffsvektor dient den Berichten zufolge ein manipulierter Sticker. Sticker sind speziell gestaltete Mediendateien, die im Chat häufig genutzt werden, um Gefühle auszudrücken oder kurze Nachrichten zu ersetzen. Die unabhängige Cybersicherheitsberaterin Carolina Vivianti beschrieb den Vektor in einem Beitrag auf Red Hot Cyber als “überraschend einfach: animierte Sticker”. Sie nannte die Lücke “zutiefst beunruhigend”, weil für eine Kompromittierung kein Klicken oder Öffnen in der Telegram-Sitzung nötig sei.

“Allein der Empfang des Inhalts genügt”, schrieb Vivianti. “Keine Bestätigung, keine Nutzerinteraktion. Das System verarbeitet die Dateien, um Vorschauen zu erzeugen, und genau in diesem Schritt findet der Angriff statt.”

Telegram wies auf X wiederholt zurück, dass ein solcher Angriff über Sticker möglich sei. Die Darstellung “missachtet vollständig, dass alle zu Telegram hochgeladenen Sticker von dessen Servern validiert werden, bevor sie von den Telegram-Apps abgespielt werden können”, so das Unternehmen. Die italienische Behörde ergänzte ihre Warnung um diese Stellungnahme: Nach der offiziellen Position verhindere die zentrale Filterung den Einsatz manipulierter Sticker als Angriffsvektor und mache es technisch unmöglich, auf diesem Weg Schadcode auszuführen. DePlante reagierte zunächst nicht auf Anfragen von Dark Reading.

Telegram setzt auf Nachrichtenverschlüsselung und wird von vielen für private Kommunikation genutzt – ein Grund, warum eine Zero-Click-Lücke zum Datendiebstahl oder zur Spionage als gravierend gilt. Angreifer können Schwachstellen in Messenger-Apps nutzen, um Personen von Interesse ins Visier zu nehmen, etwa Journalisten, Politiker, Regierungsvertreter oder Führungskräfte von Unternehmen.

Telegrams Sicherheitsrichtlinien hatten das Unternehmen bereits zuvor in Kontroversen verwickelt: CEO Pavel Durov wurde 2024 von französischen Behörden festgenommen, weil Telegram sich historisch geweigert hatte, Daten an Strafverfolgungsbehörden weiterzugeben – außer in seltenen Terrorfällen –, was später Anpassungen der Richtlinien erzwang. Die App ist zudem bei Cyberkriminellen beliebt, die dort eigene Kanäle für illegale Aktivitäten betreiben.

Solange Telegram seine Haltung nicht ändert, dürfte erst im Juli klar werden, ob die Lücke existiert und so gefährlich ist, wie ZDI befürchtet. Vivianti rät bis dahin zu unterschiedlichen Schutzmaßnahmen: Geschäftsnutzern empfiehlt sie, den Nachrichtenempfang auf vertrauenswürdige Kontakte oder Premium-Nutzer zu beschränken. Privatnutzern rät sie, die App vorübergehend zu deinstallieren oder die Web-Version über einen aktuellen Browser zu nutzen, da dessen Sandbox-Architektur eine stärkere Isolation als der native Client biete.