Независимо колко е сигурен, софтуерът често рискува да бъде злоупотребен, хакнат или използван като инструмент за хакване на други хора.
През повечето време, лхакерите използват широко използвани и достъпни функции за злонамерени цели и това е, което наскоро демонстрира изследовател по киберсигурност с шифрованото приложение на Телеграма.
За тези, които все още не знаят за Telegram, те трябва да знаят, че дs приложение за съобщения за Android и iOS което позволява сигурна комуникация. Приложението защитава обаждания и обмен на съобщения, снимки, видео и документи, използвайки така нареченото „криптиране от край до край“.
Въпреки че приложението не е напълно безопасно, както си мислите и това е така, защото приложението Telegram улеснява хакерите да намерят точното местоположение на устройство с Android и активира функция, която позволява на потребители, които са географски близки, да се свързват.
Уязвимостта съществува и на някои iPhone и изследователят, който откри уязвимостта при разкриване на местоположението и отговори отговорно за това пред разработчиците на Telegram, заяви, че разработчиците не възнамеряват да го поправят.
Проблемът се дължи на функция, наречена "Близки хора" че по подразбиране е деактивиран и когато потребителите го активират, тяхното географско разстояние се показва на други хора, които са го активирали и които се намират в същия географски регион (или които фалшифицират местоположението си).
Когато опцията „Затвори хора“ се използва по предназначение, това е полезна функция, която поражда малко или никакви опасения относно поверителността. Но известие, че някой е на 1 километър или 600 метра, все още оставя сталкерите да гадаят къде точно се намирате.
За щастие, хората трябва да активират тази функция, защото тя автоматично се деактивира след надстройка. Следователно не всеки е податлив, но има проблем, тъй като не всички потребители знаят, че чрез активиране на „Хора наблизо“ те споделят местоположението си или дори личния си адрес.
По-долу е отговорът от разработчиците на Telegram, когато независимият изследовател Ахмед Хасан им изпрати доказателство за уязвимостта под формата на видео отчет:
"Благодаря, че се свързахте с нас. Потребителите в раздела „Хора наблизо“ умишлено споделят местоположението си и тази функция е деактивирана по подразбиране. Очаква се, че ще бъде възможно да се определи точното местоположение при определени условия. За съжаление този случай не е обхванат от нашата програма за награди за грешки. “
Хасан казва, че е спечелил бонус когато сте открили такава уязвимост в приложението Line messaging, който също има същата функция «Близки хора». В този първи случай разработчиците решиха проблема.
Използвайки лесно достъпен софтуер, Хасан успя да изпрати сървърите на Telegram до три фалшиви места наоколо от приблизителното местоположение на целта, от „вкоренен“ телефон с Android.
По този начин той успя да подобри точността на местоположението на целта, като намали радиуса на нейното географско местоположение. Следователно, чрез измерване на съответното разстояние, отчетено от близките хора, той може да идентифицира местоположението на потребител.
Но изглежда, че проблемите с споделянето на местоположението на приложението не свършват само с функцията.
Telegram също така дава възможност на потребителите да създават локални групи използване на географски местоположения, като например група на общността в конкретно предградие. Според изследователя тези групи са особено уязвими за хакери. Всеки, който има достатъчно познания за функцията, ще може да подправи местоположението, да дешифрира тези групи.
„Повечето потребители не разбират, че споделят местоположението си и може би домашния си адрес“, пише Хасан в изявление по имейл. «Ако една жена използва тази функция за чат с местна група, тя може да бъде тормозена от нежелани потребители".
Демонстрационното видео, което изследователят изпрати до Telegram показа как може да разпознае адреса на потребител от функцията „Хора наблизо“ когато сте използвали безплатно приложение GPS Spoofer за местоположение, за да докладвате само за три различни местоположения.
След това нарисува кръг около всяко от трите места с радиус на разстоянието, отчетено от Telegram и където точното положение на потребителя е мястото, където се пресичат трите кръга.
Fuente: https://blog.ahmed.nyc