Kripto para yatırımcılarının yoğun biçimde kullandığı uygulamalardan biri Telegram ve önemli bir açık tespit edildi. 0day zafiyetleri halen aktif olan ve uygulama geliştiricilerin düzeltmediği açıklardır. Son tespit edilen zafiyetin skoru oldukça yüksek yani dikkat etmeniz gerekiyor.
Telegram 0day Zafiyeti 27 Mart
Telegram için ZDI-CAN-30207 kodlu yeni bir güvenlik açığı tespit edildi. Bu zafiyet 10 üzerinden 9.8 CVSS skoruyla Zero Day Initiative’in güvenlik açığı listesinde yer aldı. Bu skoru aslında deprem büyüklüğü gibi görebilirsiniz ve 8-9’un üzeri skor alan zafiyetler saldırganların uygulamada üst düzey yetkiler elde etmesi anlamına geliyor.
26 Mart tarihinde bu açık bildirildi ve 24 Temmuz’a kadar zafiyet kapatılmazsa yayınlanacak. Zafiyetin teknik detayları, mekaniği belirsiz çünkü tespit edenler zafiyet yamanmadan bu bilgileri paylaşmıyor. Asıl sorun nispeten iyi niyetli (beyaz, gri şapkalı) hackerların tespit ettiği bu zafiyetin önümüzdeki saatlerde kötü niyetli saldırganlar tarafından da tespit edilme potansiyelidir.
Tespit edilen 0day zafiyetin ayrıcalık veya kullanıcı etkileşimi gerektirmeden gerçekleştirilebilen düşük karmaşıklıkta bir uzaktan saldırıya imkan tanıdığı düşünülüyor. Telegram henüz bu konuda açıklama yapmadı.
Alınacak Önlemler
Tüm Telegram kullanıcılarını ilgilendiren bir zafiyetten bahsediyoruz çünkü skoru çok yüksek ve hata yapmasanız bile saldırganların size zarar verebileceği bir zafiyet tespit edildi. Telegram (veya herhangi bir mesajlaşma uygulaması) için bu kadar yüksek puanlı (9.8 CVSS) bir 0-day açığı söz konusu olduğunda, en büyük risk “kullanıcı etkileşimi gerektirmeyen” (zero-click) saldırılardır. Teknik detaylar henüz gizli tutulsa da, bu tür açıklar genellikle medya dosyalarının veya bağlantıların arka planda işlenmesi sırasında tetiklenir.
- İlk olarak Ayarlar > Veri ve Depolama yolunu izleyin. Otomatik Medya İndirme başlığı altındaki tüm seçenekleri (Hücresel Veri, Wi-Fi, Dolaşım) “Kapalı” hale getirin. Bu sayede size gönderilen bir dosya, siz üzerine dokunup “İndir” demedikçe cihazınıza yüklenmez.
- Bazı ağır açıklar, sadece bir arama sinyali gönderilerek (siz açmasanız bile) tetiklenebilir. Ayarlar > Gizlilik ve Güvenlik > Aramalar kısmına gidin. “Kimler beni arayabilir?” seçeneğini Kişilerim veya Hiç kimse olarak güncelleyin. “Eşler arası (Peer-to-Peer)” özelliğini de “Kişilerim” veya “Hiç kimse” yaparak IP adresinizin doğrudan görünmesini engelleyin.
- Saldırganlar, toplu saldırı yapmak için botlar aracılığıyla sizi tanımadığınız gruplara ekleyebilir ve bu gruplarda zararlı dosyalar paylaşabilir. Ayarlar > Gizlilik ve Güvenlik > Gruplar ve Kanallar sekmesinden “Beni kimler ekleyebilir?” ayarını Kişilerim olarak değiştirin.
24 Temmuz 2026’ya kadar süre olsa da Telegram her an bir “sessiz yama” (silent patch) yayınlayabilir. App Store veya Google Play Store’da Telegram güncellemelerini günlük olarak kontrol edin. Farklı saldırganların açığı tespit etme (şu an bile tespit etmiş olabilirler) riski olduğundan yama geldiğinde hemen bunu yüklemiş olun. Özellikle “tme/proxy” gibi görünen ancak altında başka bir link barındıran bağlantılardan uzak durun.
