El programari sense importar com assegurança sigui, sovint corre el risc de ser mal utilitzat, Hacker o utilitzat com a eina per hackejar a altres persones.
La majoria de les vegades, lus hackers exploten funcions disponibles i d'ús massiu amb fins maliciosos i això és el que va demostrar recentment un investigador de ciberseguretat amb l'aplicació encriptada de Telegrama.
Per als que encara desconeixen de Telegram, han de saber que is una aplicació de missatgeria per Android i iOS que permet una comunicació segura. L'aplicació protegeix trucades i intercanvis de missatges, fotos, vídeos i documents mitjançant el que es denomina «xifrat d'extrem a extrem».
Tot i que l'aplicació no és de el tot segura com podries creure i és que això es deu al fet que l'aplicació Telegram facilita als hackers trobar la ubicació exacta d'un dispositiu Android i activa una funció que permet als usuaris que estan geogràficament a prop connectar-se.
La vulnerabilitat també existeix en alguns iPhones i l'investigador, que va descobrir la vulnerabilitat de divulgació de la ubicació i la va informar responsablement als desenvolupadors de Telegram, va dir que els desenvolupadors no tenien la intenció de solucionar-ho.
El problema es deu a una funció anomenada «Persones properes» que per defecte, està deshabilitat i quan els usuaris ho habiliten, la seva distància geogràfica es mostra a altres persones que ho van habilitar i que es troben en la mateixa regió geogràfica (o que estan falsificant la seva ubicació).
Quan l'opció «Persones properes» s'utilitza segons el previst, és una funció útil que planteja poques o cap preocupació per la privacitat. No obstant això, una notificació que algú està a 1 quilòmetre o 600 metres de distància encara deixa als assetjadors endevinant exactament on ets.
Afortunadament, les persones necessiten habilitar aquesta funció perquè es desactiva automàticament després de l'actualització. Per tant, no tothom és susceptible, però, hi ha un problema, ja que no tots els usuaris saben que a l'activar "Persones properes», estan compartint la seva ubicació o fins i tot la seva adreça personal.
A continuació es mostra la resposta dels desenvolupadors de Telegram, quan l'investigador independent Ahmed Hassan va enviar una prova de la vulnerabilitat en forma d'un informe de vídeo:
«Gràcies per contactar-nos. Els usuaris de la secció «Persones properes» comparteixen intencionalment la seva ubicació, i aquesta funció està inhabilitada per defecte. S'espera que sigui possible determinar la ubicació exacta sota certes condicions. Malauradament, aquest cas no està cobert pel nostre programa de recompenses per errors ".
Hassan diu que va guanyar un bo quan va descobrir tal vulnerabilitat en l'aplicació de missatgeria Line, que també té la mateixa funció «Persones properes». En aquest primer cas, els desenvolupadors van solucionar el problema.
Usant un programari de fàcil accés, Hassan va poder enviar els servidors de Telegram a tres ubicacions falses al voltant de la ubicació aproximada de l'objectiu, des d'un telèfon Android «rooteado».
A el fer-ho, va poder millorar la precisió de la ubicació de l'objectiu a l'reduir el radi de la seva ubicació geogràfica. Per tant, a l'mesurar la distància corresponent informada per persones properes, és capaç d'identificar la ubicació d'un usuari.
Però sembla que els problemes per compartir la ubicació de l'aplicació no acaben només amb la funció.
Telegram també ofereix als usuaris la capacitat de crear grups locals utilitzant ubicacions geogràfiques, com un grup comunitari en un suburbi específic, per exemple. Aquests grups també són particularment vulnerables als pirates informàtics, segons l'investigador. Qualsevol amb coneixement suficient de la funció podrà falsificar la ubicació, desxifrar aquests grups.
"La majoria dels usuaris no comprenen que estan compartint la seva ubicació i potser la seva adreça particular", va escriure Hassan en un comunicat enviat per correu electrònic. «Si una dona fa servir aquesta funció per xatejar amb un grup local, pot ser assetjada per usuaris no desitjats".
El vídeo de demostració que l'investigador va enviar a Telegram va mostrar com va poder discernir la direcció d'un usuari de la funció «Persones properes» quan va usar una aplicació gratuïta GPS Location Spoofer per informar sobre només tres diferents llocs.
Després va dibuixar un cercle al voltant de cadascuna de les tres ubicacions amb un radi de la distància informada per Telegram i on la posició precisa de l'usuari era on es creuaven els tres cercles.
font: https://blog.ahmed.nyc