Функция Telegram показывает ваш точный адрес хакерам
Разработчики Telegram не планируют устранять уязвимость, которая помогает установить ваше местоположение. Фото: Pixabay
Проблема связана с функцией "Люди рядом". По умолчанию она выключен. Когда пользователи включают её, информация об их географическом положении становится доступна другим людям, у тоже включена эта функция. Геоданные также доступны злоумышленникам, которые подменяют собственное местоположение.
Читайте в тему:
- Zoom вновь обвиняют в передаче данных пользователей из США Пекину
- Устройства Citrix используются в качестве векторов DDoS-атак
- Патч Microsoft от агрессивного эксплойта оказался нерабочим
Когда функция используется добросовестно, то она не вызывает проблем с конфиденциальностью.
Независимый исследователь Ахмед Хассан , однако, показал, как можно злоупотребить этой функцией, чтобы узнать, где именно вы находитесь. Используя легкодоступное программное обеспечение и обычное устройство Android, он может подделать информацию о своём местоположении отправить данные на сервер Telegram. Используя всего три разных местоположения и измеряя соответствующее расстояние, сообщаемое «Люди рядом», он может определить точное местоположение пользователя.
«Большинство пользователей не понимают, что сообщают своё местоположение и, возможно, свой домашний адрес», — написал Хасан в электронном письме.— «Если женщина использовала эту функцию в чате с местной группой, её могут преследовать нежелательные пользователи».
Видео с подтверждением концепции, которое исследователь отправил в Telegram, показало, как он мог распознать адрес пользователя функции «Люди рядом», когда он использовал бесплатное приложение для спуфинга GPS, чтобы сообщить о своём телефоне только в трёх разных местах. Затем он обвёл кругом каждое из трёх мест с радиусом расстояния, сообщённым Telegram. Точное местоположение пользователя было там, где все три пересекались.
Представители Telegram не ответили на письмо с просьбой о комментарии.
Функция «Люди рядом» представляет наибольшую угрозу для пользователей Android, поскольку они сообщают о местонахождении пользователя с достаточной детализацией. Недавно выпущенная iOS 14, напротив, позволяет пользователям разглашать лишь приблизительное их местоположение. Люди, которые используют эту функцию, не так уязвимы.
Исправить проблему, или, по крайней мере, значительно усложнить её использование — несложно с технической точки зрения. Обычно достаточно округления местоположений до ближайшей мили и добавления случайных битов. Когда в приложении Tinder была аналогичная уязвимость, связанная с раскрытием информации, разработчики использовали этот метод, чтобы исправить её, пишет Arstechnica.
Последствия для конфиденциальности функции «Люди рядом» в Telegram являются хорошим напоминанием о том, что функциями могут часто злоупотреблять способами, которые не предусмотрены разработчиками. Пользователи, которые хотят сохранить конфиденциальность своего местонахождения, должны с подозрением относиться к службам на основе определения местоположения и проводить исследования перед их установкой или включением.
Как ранее сообщал Startpack, ранее исследователи обнаружили другую уязвимость. Как выяснилось, API https://startpack.ru/category/securityпреобразования речи в текст Google позволяет хакерам обойти Google reCAPTCHA.
Startpack также подготовил список инструментов для защиты информации, её безопасной передачи и хранения, а также внутрикорпоративного контроля сотрудников.
Комментариев пока не было