Oprogramowanie

Funkcja telegramu ujawnia hakerom Twój dokładny adres

Mapa przypięta płasko na zielonym pejzażu miejskim i rzece Huangpu

Jeśli używasz urządzenia z Androidem – lub w niektórych przypadkach iPhone’a – komunikator Telegram ułatwia hakerom ustalenie Twojej dokładnej lokalizacji, gdy włączysz funkcję, która umożliwia użytkownikom znajdującym się w pobliżu. Badacz, który odkrył lukę w ujawnieniu i prywatnie zgłosił to programistom Telegrama, powiedział, że nie ma planów, aby to naprawić.

Problem wynika z funkcji o nazwie Osoby w pobliżu. Domyślnie jest wyłączony. Gdy użytkownicy ją włączają, ich odległość geograficzna jest pokazywana innym osobom, które mają tę funkcję włączoną i znajdują się (lub podszywają się pod) w tym samym regionie geograficznym. Gdy funkcja Osoby w pobliżu jest używana zgodnie z przeznaczeniem, jest to przydatna funkcja, która ma niewiele wątpliwości dotyczących prywatności. W końcu powiadomienie, że ktoś jest w odległości 1 kilometra lub 600 metrów, nadal sprawia, że ​​stalkerzy odgadują, gdzie dokładnie się znajdujesz.

Stalking stał się prosty

Niezależny badacz Ahmed Hassan pokazał jednak, jak można wykorzystać tę funkcję, aby ujawnić dokładnie, gdzie się znajdujesz. Używając łatwo dostępnego oprogramowania i zrootowanego urządzenia z Androidem, jest w stanie sfałszować lokalizację, którą zgłasza jego urządzenie do serwerów Telegram. Korzystając tylko z trzech różnych lokalizacji i mierząc odpowiednią odległość zgłoszoną przez osoby w pobliżu, jest w stanie określić dokładną lokalizację użytkownika.

Telegram umożliwia użytkownikom tworzenie lokalnych grup na określonym obszarze geograficznym. Hassan powiedział, że oszuści często fałszują swoją lokalizację, aby rozbić takie grupy, a następnie rozpowszechniać fałszywe inwestycje w bitcoiny, narzędzia hakerskie, skradzione numery ubezpieczenia społecznego i inne oszustwa.

„Większość użytkowników nie rozumie, że udostępniają swoją lokalizację i być może adres domowy” – napisał Hassan w e-mailu. „Jeśli kobieta użyła tej funkcji do czatowania z lokalną grupą, może być prześladowana przez niechcianych użytkowników”.

Film weryfikujący koncepcję, który badacz wysłał do Telegramu, pokazał, w jaki sposób mógł rozpoznać adres użytkownika People Near, gdy użył bezpłatnej aplikacji do fałszowania GPS, aby zgłosić swój telefon tylko w trzech różnych lokalizacjach. Następnie narysował okrąg wokół każdej z trzech lokalizacji z promieniem odległości podanym przez Telegram. Dokładna lokalizacja użytkownika to miejsce, w którym przecięły się wszystkie trzy.

Hassan poprosił o niepublikowanie filmu. Poniższy zrzut ekranu daje jednak ogólny pomysł.

Ahmed Hassan

Naprawianie problemu

W poście na blogu Hassan zamieścił e-mail od Telegrama w odpowiedzi na raport, który im wysłał. Zauważono, że funkcja Osoby w pobliżu nie jest domyślnie włączona i że „oczekuje się, że określenie dokładnej lokalizacji jest możliwe w określonych warunkach”.

Przedstawiciele Telegramu nie odpowiedzieli na e-mail z prośbą o komentarz.

Osoby w pobliżu stanowią największe zagrożenie dla osób korzystających z urządzeń z Androidem, ponieważ zgłaszają lokalizację użytkownika z wystarczającą szczegółowością, aby atak Hassana zadziałał. Z kolei niedawno wydany iOS 14 pozwala użytkownikom ujawnić tylko przybliżone przybliżenie ich lokalizacji. Osoby korzystające z tej funkcji nie są tak narażone.

Naprawienie problemu – a przynajmniej utrudnienie jego wykorzystania – nie byłoby trudne z technicznego punktu widzenia. Zaokrąglenie lokalizacji do najbliższej mili i dodanie kilku losowych bitów na ogół wystarcza. Kiedy aplikacja Tinder miała podobną lukę w ujawnieniu, programiści używali tego rodzaju techniki, aby ją naprawić.

Konsekwencje prywatności funkcji Ludzie w pobliżu Telegrama są dobrym przypomnieniem, że funkcje często mogą być nadużywane w sposób, który nie jest rozważany przez osoby, które je opracowują. Użytkownicy, którzy chcą zachować prywatność swojego miejsca pobytu, powinni być podejrzliwi w stosunku do usług opartych na lokalizacji i przeprowadzić badania przed ich zainstalowaniem lub włączeniem.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook