Software uanset hvor sikker det er, risikerer ofte at blive misbrugt, hacket eller brugt som et værktøj til at hacke andre mennesker.
Det meste af tiden, lhackere udnytter tilgængelige og meget anvendte funktioner til ondsindede formål og det er, hvad en cybersikkerhedsforsker for nylig demonstrerede med den krypterede anvendelse af Telegram.
For dem, der stadig ikke er opmærksomme på Telegram, bør de vide, at eDet er en messaging-app til Android og iOS der muliggør sikker kommunikation. Applikationen beskytter opkald og udveksling af meddelelser, fotos, videoer og dokumenter ved hjælp af det, der kaldes "end-to-end-kryptering."
Selvom applikationen ikke er helt sikker, som du måske tror og dette er fordi applikationen Telegram gør det nemt for hackere at finde den nøjagtige placering af en Android-enhed og aktiverer en funktion, der gør det muligt for brugere, der er geografisk tæt at oprette forbindelse.
Sårbarheden findes også på nogle iPhones og forskeren, der opdagede sårbarheden om placeringsoplysning og ansvarligt rapporterede det til Telegram-udviklere, sagde udviklerne ikke havde til hensigt at rette det.
Problemet skyldes en funktion kaldet "Luk folk" at det som standard er deaktiveret, og når brugere aktiverer det, vises deres geografiske afstand for andre mennesker, der aktiverede det, og som er i samme geografiske område (eller som forfalsker deres placering).
Når indstillingen "Luk folk" bruges som tilsigtet, er det en nyttig funktion, der giver ringe eller ingen bekymringer om privatlivets fred. En meddelelse om, at nogen er 1 kilometer eller 600 meter væk, lader dog stadig stalkere gætte nøjagtigt, hvor du er.
Heldigvis folk skal aktivere denne funktion, fordi den automatisk er deaktiveret efter opgradering. Derfor er ikke alle modtagelige, men der er et problem, da ikke alle brugere ved, at ved at aktivere "Nærliggende mennesker" deler de deres placering eller endda deres personlige adresse.
Nedenfor er svaret fra Telegram-udviklerne, da den uafhængige forsker Ahmed Hassan sendte dem bevis på sårbarheden i form af en videorapport:
"Tak fordi du kontaktede os. Brugere i afsnittet "Personer i nærheden" deler bevidst deres placering, og denne funktion er som standard deaktiveret. Det forventes, at det vil være muligt at bestemme den nøjagtige placering under visse forhold. Desværre er denne sag ikke dækket af vores bug bounty-program. ”
Hassan siger, at han vandt en bonus da du opdagede en sådan sårbarhed i Line messaging-applikationen, som også har den samme funktion «Luk folk». I dette første tilfælde løste udviklerne problemet.
Brug af let tilgængelig software, Hassan var i stand til at sende Telegrams servere til tre falske placeringer rundt omkring af målets omtrentlige placering fra en "rodfæstet" Android-telefon.
Ved at gøre dette var han i stand til at forbedre målets placeringsnøjagtighed ved at reducere radius af dets geografiske placering. Derfor er den i stand til at identificere en brugers placering ved at måle den tilsvarende afstand rapporteret af nærliggende mennesker.
Men det ser ud til, at delingsproblemerne for appplacering ikke ender med funktionen alene.
Telegram giver også brugerne mulighed for at oprette lokale grupper ved hjælp af geografiske placeringer som f.eks. en gruppe i en bestemt forstad. Disse grupper er også særligt sårbare over for hackere, ifølge forskeren. Enhver med tilstrækkelig viden om funktionen vil være i stand til at falske placeringen, dechiffrere disse grupper.
"De fleste brugere forstår ikke, at de deler deres placering og måske deres hjemmeadresse," skrev Hassan i en e-mail-erklæring. «Hvis en kvinde bruger denne funktion til at chatte med en lokal gruppe, kan hun blive chikaneret af uønskede brugere".
Demonstrationsvideoen, som forskeren sendte til Telegram viste, hvordan han kunne skelne en brugers adresse fra funktionen "Nærliggende mennesker" når du brugte en gratis GPS Location Spoofer-app til at rapportere om kun tre forskellige placeringer.
Derefter tegnede han en cirkel omkring hver af de tre placeringer med en radius af afstanden rapporteret af Telegram, og hvor brugerens præcise position var, hvor de tre cirkler krydsede hinanden.
kilde: https://blog.ahmed.nyc