Les logiciels, aussi sécurisés soient-ils, courent souvent le risque d'être mal utilisés, piraté ou utilisé comme un outil pour pirater d'autres personnes.
La plupart du temps, jeles pirates exploitent les fonctions disponibles et largement utilisées à des fins malveillantes et c'est ce qu'un chercheur en cybersécurité a récemment démontré avec l'application cryptée de Télégramme
Pour ceux qui ne connaissent toujours pas Telegram, ils doivent savoir que eC'est une application de messagerie pour Android et iOS qui permet une communication sécurisée. L'application protège les appels et les échanges de messages, de photos, de vidéos et de documents grâce à ce que l'on appelle le «cryptage de bout en bout».
Même si l'application n'est pas totalement sûre comme vous pourriez le penser et c'est parce que l'application Telegram permet aux pirates de trouver facilement l'emplacement exact d'un appareil Android et active une fonctionnalité qui permet aux utilisateurs géographiquement proches de se connecter.
La vulnérabilité existe également sur certains iPhones et le chercheur, qui a découvert la vulnérabilité de divulgation de l'emplacement et l'a signalée de manière responsable aux développeurs de Telegram, a déclaré que les développeurs n'avaient pas l'intention de la corriger.
Le problème est dû à une fonction appelée "Personnes proches" que par défaut, il est désactivé et lorsque les utilisateurs l'activent, leur distance géographique est montrée aux autres personnes qui l'ont activé et qui sont dans la même région géographique (ou qui falsifient leur emplacement).
Lorsque l'option "Fermer les gens" est utilisée comme prévu, c'est une fonctionnalité utile qui soulève peu ou pas de problèmes de confidentialité. Cependant, une notification indiquant que quelqu'un se trouve à 1 kilomètre ou 600 mètres laisse toujours les harceleurs deviner exactement où vous êtes.
Heureusement, les utilisateurs doivent activer cette fonctionnalité car elle est automatiquement désactivée après la mise à niveau. Par conséquent, tout le monde n'est pas sensible, cependant, il y a un problème, car tous les utilisateurs ne savent pas qu'en activant "Personnes à proximité", ils partagent leur position ou même leur adresse personnelle.
Voici la réponse des développeurs de Telegram, lorsque le chercheur indépendant Ahmed Hassan leur a envoyé la preuve de la vulnérabilité sous la forme d'un rapport vidéo:
"Merci pour nous contacter. Les utilisateurs de la section "Personnes à proximité" partagent intentionnellement leur position et cette fonctionnalité est désactivée par défaut. On s'attend à ce qu'il soit possible de déterminer l'emplacement exact dans certaines conditions. Malheureusement, ce cas n'est pas couvert par notre programme de primes de bogues. »
Hassan dit qu'il a gagné un bonus quand vous avez découvert une telle vulnérabilité dans l'application de messagerie Line, qui a également la même fonction «Personnes proches». Dans ce premier cas, les développeurs ont résolu le problème.
À l'aide d'un logiciel facilement accessible, Hassan a pu envoyer les serveurs de Telegram vers trois faux emplacements autour de l'emplacement approximatif de la cible, à partir d'un téléphone Android "rooté".
Ce faisant, il a pu améliorer la précision de localisation de la cible en réduisant le rayon de sa position géographique. Par conséquent, en mesurant la distance correspondante signalée par les personnes à proximité, il est capable d'identifier l'emplacement d'un utilisateur.
Mais il semble que les problèmes de partage de l'emplacement de l'application ne s'arrêtent pas uniquement à la fonctionnalité.
Telegram donne également aux utilisateurs la possibilité de créer des groupes locaux en utilisant des emplacements géographiques, comme un groupe communautaire dans une banlieue spécifique, par exemple. Ces groupes sont également particulièrement vulnérables aux hackers, selon le chercheur. Toute personne ayant une connaissance suffisante de la fonction pourra usurper l'emplacement, déchiffrer ces groupes.
"La plupart des utilisateurs ne comprennent pas qu'ils partagent leur position et peut-être leur adresse personnelle", a écrit Hassan dans un communiqué envoyé par courrier électronique. «Si une femme utilise cette fonctionnalité pour discuter avec un groupe local, elle peut être harcelée par des utilisateurs indésirables«.
La vidéo de démonstration que le chercheur a envoyée à Telegram a montré comment il pouvait discerner l'adresse d'un utilisateur à partir de la fonction "Personnes à proximité" lorsque vous avez utilisé une application gratuite GPS Location Spoofer pour signaler seulement trois emplacements différents.
Il a ensuite dessiné un cercle autour de chacun des trois emplacements avec un rayon de la distance rapportée par Telegram et où la position précise de l'utilisateur se trouvait là où les trois cercles se croisaient.
source: https://blog.ahmed.nyc