Функция Telegram показывает ваш точный адрес хакерам

Производитель Messenger не выразил никаких планов по исправлению ошибки раскрытия местоположения.

Дэн Гудин. 5 января 2021 г., 21:40 UTC

функция, telegram, адрес, хакерам

    Если вы используете устройство Android или, в некоторых случаях, iPhone, приложение для обмена сообщениями Telegram упрощает хакерам определение вашего точного местоположения, когда вы включаете функцию, которая позволяет пользователям, находящимся географически близко к вам, подключаться. Исследователь, который обнаружил уязвимость раскрытия информации и лично сообщил о ней разработчикам Telegram, сказал, что у них нет планов ее исправлять.

    Проблема связана с функцией «Люди рядом». По умолчанию он выключен. Когда пользователи включают его, их географическое расстояние отображается другим людям, у которых он включен и которые находятся (или подделывают) тот же географический регион. Когда люди рядом используются, как задумано, это полезная функция, практически не вызывающая проблем с конфиденциальностью. Ведь уведомление о том, что кто-то находится на расстоянии 1 км или 600 метров, все равно заставляет сталкеров гадать, где именно вы находитесь.

    Преследование стало проще

    Независимый исследователь Ахмед Хассан, однако, показал, как можно злоупотребить этой функцией, чтобы узнать, где именно вы находитесь. Используя легкодоступное программное обеспечение и рутированное устройство Android, он может подделать местоположение, которое его устройство сообщает серверам Telegram. Используя всего три разных местоположения и измеряя соответствующее расстояние, сообщаемое People Nearby, он может определить точное местоположение пользователя.

    READ  Call of Duty Warzone DMR примечания к патчу нерфа, скоро выйдет еще одно обновление Gaming Entertainment

    Telegram позволяет пользователям создавать локальные группы в пределах географической области. Хасан сказал, что мошенники часто подделывают их местоположение, чтобы разбить такие группы, а затем торгуют фальшивыми инвестициями в биткойны, инструментами взлома, украденными номерами социального страхования и другими видами мошенничества.

    «Большинство пользователей не понимают, что делятся своим местоположением и, возможно, своим домашним адресом». написал Хасан в электронном письме. «Если женщина использовала эту функцию, чтобы поговорить с местной группой, ее могут преследовать нежелательные пользователи».

    Видео с подтверждением концепции, которое исследователь отправил в Telegram, показало, как он мог распознать адрес пользователя People Nearby, когда он использовал бесплатное приложение для подделки GPS, чтобы сообщить о своем телефоне только в трех разных местах. Затем он обвел кругом каждое из трех мест с радиусом расстояния, сообщенным Telegram. Точное местоположение пользователя было там, где все три пересекались.

    Хасан попросил не публиковать видео. Скриншот ниже, однако, дает общее представление.

    Устранение проблемы

    В своем сообщении в блоге Хасан включил электронное письмо от Telegram в ответ на отправленный им отчет. Он отметил, что люди поблизости не включены по умолчанию и что «ожидается, что определение точного местоположения возможно при определенных условиях».

    READ  IFTTT объявляет о новых функциях для подписчиков Pro

    Представители Telegram не ответили на письмо с просьбой о комментарии.

    People Nearby представляет наибольшую угрозу для людей, использующих устройства Android, поскольку они сообщают о местоположении пользователя с достаточной степенью детализации, чтобы атака Хасана сработала. Недавно выпущенная iOS 14, напротив, позволяет пользователям разглашать лишь приблизительное их местоположение. Люди, которые используют эту функцию, не так уязвимы.

    Исправить проблему. или, по крайней мере, усложнить ее использование. несложно с технической точки зрения. Обычно достаточно округления местоположений до ближайшей мили и добавления случайных битов. Когда приложение Tinder имело аналогичную уязвимость раскрытия информации, разработчики использовали этот метод, чтобы исправить ее.

    Последствия для конфиденциальности функции «Люди рядом» в Telegram являются хорошим напоминанием о том, что функциями часто могут злоупотреблять способами, которые не задумываются людьми, которые их разрабатывают. Пользователи, которые хотят сохранить в тайне свое местонахождение, должны с подозрением относиться к службам, основанным на местоположении, и проводить исследования перед их установкой или включением.

    Источник