Le pot aux roses a été découvert par la société italienne Shielder, comme le rapporte The Hackers News. Les développeurs de la messagerie ont été informés en amont et la brèche corrigée entre fin septembre et début octobre.
Cette faille « permettait ainsi aux attaquants d'envoyer des autocollants bien particuliers à des utilisateurs afin d'accéder aux messages, photos et vidéos qui ont été échangés avec leurs contacts Telegram, via des conversations classiques et secrètes », expliquent nos confrères. Android, iOS et macOS sont concernés.
Ils ajoutent que l’exploitation réelle était plus compliquée qu’il n’y paraît puisqu’elle nécessitait aussi d’exploiter une autre faille afin de contourner les protections de la machine. Des manipulations à la portée de certains groupes de pirates, notamment ceux soutenus par un État.
