Bármilyen biztonságos is a szoftver, gyakran fennáll annak a veszélye, hogy visszaélnek vele, feltört vagy más emberek feltörésére szolgáló eszköz.
Legtöbbször la hackerek kihasználják az elérhető és széles körben használt funkciókat rosszindulatú célokra és ezt bizonyította a közelmúltban egy kiberbiztonsági kutató fájl titkosított alkalmazásával Távirat.
Azok számára, akik még mindig nincsenek tisztában a távirattal, tudnia kell, hogy eEz egy üzenetküldő alkalmazás Android és iOS rendszerekhez amely lehetővé teszi a biztonságos kommunikációt. Az alkalmazás a végpontok közötti titkosítással védi a hívásokat és az üzenetek, fényképek, videók és dokumentumok cseréjét.
Annak ellenére, hogy az alkalmazás nem teljesen biztonságos, mint gondolná és ez azért van, mert az alkalmazás A távirat megkönnyíti a hackerek számára, hogy megtalálják egy Android-eszköz pontos helyét és aktivál egy olyan funkciót, amely lehetővé teszi a földrajzilag közel álló felhasználók számára a csatlakozást.
A biztonsági rés néhány iPhone-on is fennáll és a kutató, aki felfedezte a hely felfedésének sebezhetőségét és felelősséggel jelentette a Telegram fejlesztőinek, azt mondta, hogy a fejlesztők nem szándékoztak kijavítani.
A probléma a "Close People" nevű funkciónak köszönhető alapértelmezés szerint le van tiltva, és amikor a felhasználók engedélyezik, földrajzi távolságukat megmutatják azoknak az embereknek, akik engedélyezték, és akik ugyanabban a földrajzi régióban tartózkodnak (vagy hamisítják helyüket).
Ha a "Személyek bezárása" opciót rendeltetésszerűen használják, akkor ez egy hasznos funkció, amely alig vagy egyáltalán nem vet fel adatvédelmi aggályokat. Azonban egy értesítés arról, hogy valaki 1 kilométer vagy 600 méterre van, a stalkerek még mindig találgatják, hogy pontosan hol vagy.
Szerencsére, az embereknek engedélyezniük kell ezt a funkciót, mert automatikusan le van tiltva frissítés után. Ezért nem mindenki hajlamos, azonban van egy probléma, mivel nem minden felhasználó tudja, hogy a "Közeli emberek" aktiválásával megosztják tartózkodási helyüket vagy akár személyes címüket.
Az alábbiakban a Telegram fejlesztői válasza olvasható, amikor Ahmed Hassan független kutató videoreport formájában bizonyítékot küldött nekik a sérülékenységről:
"Köszönjük, hogy kapcsolatba lépett velünk. A "Közeli emberek" szakasz felhasználói szándékosan megosztják tartózkodási helyüket, és ez a szolgáltatás alapértelmezés szerint le van tiltva. Várhatóan bizonyos körülmények között meg lehet majd határozni a pontos helyet. Sajnos ezt az esetet a bug bounty programunk nem fedi le. "
Hassan szerint bónuszt nyert amikor felfedezett egy ilyen sebezhetőséget a vonali üzenetküldő alkalmazásban, amely szintén ugyanazt a funkciót tölti be: „Közeli emberek”. Az első esetben a fejlesztők kijavították a problémát.
Könnyen hozzáférhető szoftverek használatával, Hassan három hamis helyre tudta elküldeni a Telegram szervereit a cél hozzávetőleges helyének egy "gyökeres" Android telefonról.
Ezzel javítani tudta a célpont helyzetének pontosságát azáltal, hogy csökkentette a földrajzi elhelyezkedésének sugarát. Ezért a közeli emberek által jelentett megfelelő távolság mérésével képes azonosítani a felhasználó tartózkodási helyét.
Úgy tűnik azonban, hogy az alkalmazás helymegosztási problémái nem csak a funkcióval érnek véget.
A távirat lehetőséget ad a felhasználóknak helyi csoportok létrehozására is földrajzi helyek, például egy adott külváros közösségi csoportjának használata. A kutató szerint ezek a csoportok is különösen kiszolgáltatottak a hackerekkel szemben. Bárki, aki elegendő ismerettel rendelkezik a funkcióról, képes meghamisítani a helyet, megfejteni ezeket a csoportokat.
"A legtöbb felhasználó nem érti, hogy megosztják tartózkodási helyüket és talán otthoni címüket is" - írta Hassan e-mailben elküldött nyilatkozatában. «Ha egy nő ezt a funkciót használja egy helyi csoport csevegésére, akkor a nem kívánt felhasználók zaklathatják”.
A demonstrációs videó, amelyet a kutató elküldött a Telegramnak megmutatta, hogyan tudta megkülönböztetni a felhasználó címét a "Közeli emberek" funkcióból amikor egy ingyenes GPS Location Spoofer alkalmazást használt, hogy csak három különböző helyszínről számoljon be.
Ezután kört rajzolt mindhárom helyszín köré a Telegram által közölt távolság sugarával, és ahol a felhasználó pontos helyzete a három kör kereszteződésében volt.
forrás: https://blog.ahmed.nyc