Možný cílený útok pomocí 1-click RCE v Telegram Desktop. Kontext: Jsem terčem neustálých útoků a používám izolované prostředí (virtuální stroj) ke spouštění desktopových verzí Telegramu. Nedávno jsem se setkal s chováním naznačujícím možné použití exploitu RCE na 1 kliknutí. Časová osa událostí: 1. Počáteční interakce: • Kontakt mi poslal zprávu na telegramu. • Na postranním panelu Telegramu (vpravo) jsem viděl, že uživatel má svůj vlastní kanál. • Šel jsem na ten kanál – vše se zobrazovalo normálně, Telegram se choval podle očekávání. 2. Následná interakce: • O něco později mi ten samý uživatel poslal zprávu znovu. • Všiml jsem si, že v postranním panelu se místo předchozího názvu kanálu objevil štítek "kanál smazán". • To mě zaujalo natolik, že jsem na ten řádek kliknul (jen abych zkontroloval, jestli byl kanál opravdu smazán). • V tu chvíli se Telegram Desktop náhle restartoval bez jakéhokoli varování nebo chybové zprávy. 3. Reakce: • Ihned poté jsem virtuální počítač vypnul, aniž bych čekal, co se bude dít dál. • Naštěstí jsem měl zálohy svých relací a účtu, takže nedošlo k žádnému poškození. 4. Potvrzení: • Později mi tento uživatel přímo přiznal, že se jednalo o cílený útok pomocí 1-click RCE. Tohoto uživatele znám a čas od času s ním komunikuji — je členem Conti (Target). Sleduji jeho kanál. Pokaždé smaže chat se mnou a pak je první, kdo znovu zahájí konverzaci. Není to první cílený útok na mě (zatím neúspěšný). Důležité detaily: • Nekliknul jsem na žádné externí odkazy ani neotevřel přílohy. • Jedinou akcí bylo kliknutí na smazaný telegramový kanál zobrazený v postranním panelu. • Tato akce vyvolala nepředvídatelné chování klienta – spontánní restart aplikace Telegram Desktop. Závěr: Je vysoce pravděpodobné, že byla zneužita zranitelnost 1-click související s manipulací s obsahem nebo metadaty spojenou s kanály Telegramu (možná v náhledu nebo obslužné rutině URL kanálu). Útok byl navržen tak, aby se spustil při jediné akci uživatele – kliknutí na upravený nebo falešný prvek rozhraní Telegramu.