Bez ohledu na to, jak bezpečný je software, riskuje, že bude zneužit, hacknutý nebo použitý jako nástroj k hackování jiných lidí.
Většinu času, lhackeři využívají široce používané a dostupné funkce pro škodlivé účely a to nedávno předvedl výzkumník v oblasti kybernetické bezpečnosti se šifrovanou aplikací Telegram.
Pro ty, kteří si ještě neuvědomují Telegram, by měli vědět, že eje aplikace pro zasílání zpráv pro Android a iOS který umožňuje bezpečnou komunikaci. Aplikace chrání hovory a výměny zpráv, fotografií, videí a dokumentů pomocí tzv. „End-to-end šifrování“.
I když aplikace není zcela bezpečná, jak si možná myslíte a to proto, že aplikace Telegram usnadňuje hackerům najít přesnou polohu zařízení Android a aktivuje funkci, která umožňuje připojení uživatelům, kteří jsou geograficky blízko.
Tato chyba zabezpečení existuje také u některých telefonů iPhone a výzkumník, který objevil zranitelnost zveřejnění polohy a odpovědně ji nahlásil vývojářům Telegramu, uvedl, že vývojáři neměli v úmyslu ji opravit.
Problém je způsoben funkcí zvanou „Blízcí lidé“ že je ve výchozím nastavení zakázáno a když to uživatelé povolí, jejich zeměpisná vzdálenost se zobrazí ostatním lidem, kteří to povolili a kteří jsou ve stejné zeměpisné oblasti (nebo kteří falšují svou polohu).
Pokud je možnost „Blízcí lidé“ použita, jak bylo zamýšleno, jedná se o užitečnou funkci, která vyvolává malé nebo žádné obavy o ochranu osobních údajů. Oznámení, že je někdo vzdálený 1 kilometr nebo 600 metrů, však stále pronásledovatele nechává hádat, kde přesně jste.
Naštěstí, lidé musí tuto funkci povolit, protože je automaticky deaktivována po upgradu. Proto ne každý je vnímavý, ale je zde problém, protože ne všichni uživatelé vědí, že aktivací funkce „Lidé v okolí“ sdílejí svou polohu nebo dokonce svou osobní adresu.
Níže je odpověď vývojářů Telegramu, kdy jim nezávislý výzkumník Ahmed Hassan poslal důkaz zranitelnosti ve formě videoreportáže:
"Děkujeme, že jste nás kontaktovali. Uživatelé v sekci „Lidé v okolí“ záměrně sdílejí svou polohu a tato funkce je ve výchozím nastavení zakázána. Očekává se, že za určitých podmínek bude možné určit přesnou polohu. Na tento případ se bohužel nevztahuje náš program odměn za chyby. “
Hassan říká, že vyhrál bonus když jste objevili takovou zranitelnost v aplikaci Line messaging, který má také stejnou funkci «Blízcí lidé». V tomto prvním případě vývojáři problém vyřešili.
Pomocí snadno přístupného softwaru Hassan dokázal poslat servery Telegramu na tři falešná místa v okolí přibližné umístění cíle z „zakořeněného“ telefonu Android.
Tímto způsobem dokázal zlepšit přesnost umístění cíle snížením poloměru jeho zeměpisné polohy. Měřením odpovídající vzdálenosti hlášené blízkými lidmi je tedy schopen identifikovat polohu uživatele.
Ale zdá se, že problémy se sdílením polohy aplikace nekončí pouze u této funkce.
Telegram také umožňuje uživatelům vytvářet místní skupiny pomocí geografických lokalit, například komunitní skupiny na konkrétním předměstí, například. Podle výzkumníka jsou tyto skupiny také obzvláště citlivé na hackery. Kdokoli, kdo má dostatečné znalosti o funkci, bude moci spoofovat místo, dešifrovat tyto skupiny.
„Většina uživatelů nechápe, že sdílí svou polohu a možná svou domovskou adresu,“ napsal Hassan v e-mailovém prohlášení. «Pokud žena používá tuto funkci k chatování s místní skupinou, může být nechtěnými uživateli obtěžována".
Demonstrační video, které výzkumník poslal na Telegram ukázal, jak dokáže rozeznat adresu uživatele z funkce „Lidé v okolí“ když jste použili bezplatnou aplikaci GPS Location Spoofer k hlášení pouze na třech různých místech.
Potom nakreslil kruh kolem každého ze tří míst s poloměrem vzdálenosti hlášené Telegramem a kde přesná poloha uživatele byla tam, kde se tyto tři kruhy protínaly.
zdroj: https://blog.ahmed.nyc