Post #1064

ZDI Mencatat Kerentanan Kritis di Telegram — Jangan Panik Pada 26 Maret, entri ZDI-CAN-30207 mengenai Telegram muncul di database Zero Day Initiative — program pemburu kerentanan independen terbesar. Kerentanan tersebut ditemukan oleh peneliti Michael DePlante dari Trend Micro. Rinciannya dirahasiakan: menurut peraturan ZDI, spesifikasinya akan diungkapkan segera setelah messenger memperbaiki masalah, atau pada 24 Juli 2026, jika tidak. Tidak ada informasi tentang kerentanan yang dieksploitasi "di alam liar" oleh peretas yang sebenarnya. Saat ini, tidak ada yang tahu apa kerentanan itu kecuali peneliti dan pengembang Telegram. Teori populer tentang stiker animasi adalah spekulasi dan rumor, bukan fakta yang diketahui dari entri ini. Semua "detail" lainnya yang disebarkan oleh media dan channel adalah dugaan atau deskripsi kerentanan lama yang sudah diperbaiki. Tidak perlu panik. Apa yang harus dilakukan: • Segera perbarui Telegram saat versi baru dirilis. • Gunakan aplikasi Telegram resmi untuk menerima pembaruan dengan perbaikan pada hari pertama. • Tidak ada tindakan perlindungan spesifik lainnya yang dapat diambil — sifat kerentanan tidak diketahui. Reaksi Telegram Layanan pers messenger menyatakan kepada Durov's Code bahwa kerentanan tersebut tidak ada. Argumen mereka: semua stiker diperiksa oleh server, oleh karena itu "keberadaan eksploit seperti itu tidak mungkin". Editor @tginfo menganggap reaksi ini aneh. Untuk beberapa alasan, Telegram secara khusus mengomentari spekulasi tentang stiker, meskipun vektor serangan belum diungkapkan dan mungkin tidak ada hubungannya dengan mereka. Tidak jelas mengapa messenger memilih untuk membantah rumor daripada sekadar mengonfirmasi pekerjaan mereka pada laporan ZDI. Pernyataan itu sendiri bahwa eksploit tidak ada karena verifikasi sisi server secara teknis cacat: validasi server hanyalah salah satu lapisan perlindungan, yang itu sendiri dapat mengandung kesalahan dan mungkin tidak mencakup semua skenario yang mungkin. Selain itu, stiker yang menyebabkan aplikasi Android mogok masih ada sampai sekarang, yang sudah mempertanyakan kelengkapan pemeriksaan yang diklaim. Tanggapan messenger terhadap Durov's Code adalah deklarasi, bukan argumen. Hanya akan mungkin untuk mengonfirmasi atau menyangkal keberadaan masalah setelah detailnya dipublikasikan atau patch dirilis. Apa yang Dikatakan Data Terbuka Dari entri ZDI, skor keparahan awal — 9,8 dari 10 — dan parameter vektor serangan diketahui. Jika penilaian itu benar, kerentanan dapat dieksploitasi dari jarak jauh melalui jaringan, tidak memerlukan interaksi pengguna dan tidak memerlukan hak istimewa sistem, dan berpotensi memungkinkan penyerang mendapatkan akses penuh ke data pengguna. Ini adalah parameter yang serius, namun skor awal ditetapkan oleh peneliti dan dapat disesuaikan. Konteks Ini bukan pertama kalinya Telegram menghadapi kerentanan kritis. Pada tahun 2020, peneliti Shielder menemukan 13 kerentanan di perpustakaan rlottie untuk stiker animasi, termasuk kesalahan penulisan di luar batas yang memungkinkan kesalahan memori jarak jauh di perangkat. Telegram memperbaiki bug spesifik tetapi tidak mengubah arsitektur pemrosesan. Berpotensi, stiker animasi tetap menjadi permukaan serangan yang luas, sehingga tidak dapat dikecualikan bahwa kerentanan baru mengeksploitasinya secara khusus. Pada tahun 2024, kesalahan ditemukan di Telegram Desktop yang memungkinkan program disamarkan sebagai video, membuatnya lebih mudah untuk meyakinkan korban untuk mengklik dan meluncurkannya. Pada tahun 2025, kerentanan EvilLoader serupa ditemukan di Android. Pada saat yang sama, broker kerentanan Rusia Operation Zero menawarkan hingga $4 juta untuk eksploit tanpa klik. Praktik menunjukkan bahwa Telegram lebih suka memperbaiki lubang spesifik tanpa mengatasi masalah keamanan sistem, dan retorika tentang "ketidakmungkinan mutlak" dari eksploitasi tidak menginspirasi kepercayaan mengingat kisah ini.