Perangkat lunak tidak peduli seberapa amannya, sering kali berisiko disalahgunakan, diretas atau digunakan sebagai alat untuk meretas orang lain.
Sebagian besar waktu, lperetas mengeksploitasi fitur yang banyak digunakan dan tersedia untuk tujuan jahat dan inilah yang ditunjukkan oleh peneliti keamanan siber baru-baru ini dengan aplikasi terenkripsi Telegram.
Bagi mereka yang masih belum mengetahui Telegram, mereka harus tahu bahwa eIni adalah aplikasi perpesanan untuk Android dan iOS yang memungkinkan komunikasi yang aman. Aplikasi ini melindungi panggilan dan pertukaran pesan, foto, video dan dokumen menggunakan apa yang disebut "enkripsi ujung-ke-ujung."
Padahal aplikasinya tidak sepenuhnya aman seperti yang Anda duga dan ini karena aplikasinya Telegram memudahkan peretas untuk menemukan lokasi yang tepat dari perangkat Android dan mengaktifkan fitur yang memungkinkan pengguna yang secara geografis dekat untuk terhubung.
Kerentanan juga ada di beberapa iPhone dan peneliti, yang menemukan kerentanan pengungkapan lokasi dan secara bertanggung jawab melaporkannya kepada pengembang Telegram, mengatakan bahwa pengembang tidak bermaksud untuk memperbaikinya.
Masalahnya karena fungsi yang disebut "Tutup Orang" bahwa secara default, ini dinonaktifkan dan ketika pengguna mengaktifkannya, jarak geografis mereka ditampilkan kepada orang lain yang mengaktifkannya dan yang berada di wilayah geografis yang sama (atau yang memalsukan lokasi mereka).
Ketika opsi "Tutup Orang" digunakan sebagaimana mestinya, ini adalah fitur berguna yang sedikit atau tidak menimbulkan masalah privasi. Namun, pemberitahuan bahwa seseorang berada dalam jarak 1 kilometer atau 600 meter tetap membuat penguntit menebak dengan tepat di mana Anda berada.
Untunglah orang perlu mengaktifkan fitur ini karena dinonaktifkan secara otomatis setelah peningkatan. Oleh karena itu, tidak semua orang rentan, namun, ada masalah, karena tidak semua pengguna tahu bahwa dengan mengaktifkan "Orang Terdekat", mereka membagikan lokasi atau bahkan alamat pribadi mereka.
Di bawah ini adalah tanggapan dari pengembang Telegram, ketika peneliti independen Ahmed Hassan mengirimkan bukti kerentanan dalam bentuk laporan video:
"Terima kasih sudah menghubungi kami. Pengguna di bagian "Orang Terdekat" sengaja membagikan lokasinya, dan fitur ini dinonaktifkan secara default. Diharapkan akan memungkinkan untuk menentukan lokasi yang tepat dalam kondisi tertentu. Sayangnya, kasus ini tidak tercakup dalam program bug bounty kami. "
Hassan mengatakan dia memenangkan bonus ketika Anda menemukan kerentanan tersebut di aplikasi perpesanan Line, yang juga memiliki fungsi yang sama «Tutup orang». Dalam kasus pertama ini, pengembang memperbaiki masalahnya.
Menggunakan perangkat lunak yang mudah diakses, Hassan dapat mengirim server Telegram ke tiga lokasi palsu di sekitar dari perkiraan lokasi target, dari ponsel Android yang "di-root".
Dengan melakukan itu, dia dapat meningkatkan akurasi lokasi target dengan mengurangi radius lokasi geografisnya. Oleh karena itu, dengan mengukur jarak yang sesuai yang dilaporkan oleh orang-orang terdekat, dapat mengidentifikasi lokasi pengguna.
Tetapi tampaknya masalah berbagi lokasi aplikasi tidak berakhir dengan fitur saja.
Telegram juga memberi pengguna kemampuan untuk membuat grup lokal menggunakan lokasi geografis, seperti kelompok komunitas di pinggiran kota tertentu, misalnya. Kelompok-kelompok ini juga sangat rentan terhadap peretas, menurut peneliti. Siapapun yang memiliki pengetahuan yang memadai tentang fungsi tersebut akan dapat memalsukan lokasi, menguraikan grup ini.
"Sebagian besar pengguna tidak mengerti bahwa mereka membagikan lokasi mereka dan mungkin alamat rumah mereka," tulis Hassan dalam pernyataan yang dikirim melalui email. «Jika seorang wanita menggunakan fitur ini untuk mengobrol dengan grup lokal, dia mungkin diganggu oleh pengguna yang tidak diinginkan".
Video demonstrasi yang dikirimkan peneliti ke Telegram menunjukkan bagaimana dia bisa membedakan alamat pengguna dari fungsi "Orang Terdekat" saat Anda menggunakan aplikasi GPS Location Spoofer gratis untuk melaporkan hanya pada tiga lokasi berbeda.
Dia kemudian menggambar lingkaran di sekitar masing-masing dari tiga lokasi dengan radius jarak yang dilaporkan oleh Telegram dan di mana posisi pengguna yang tepat adalah di mana ketiga lingkaran itu berpotongan.
sumber: https://blog.ahmed.nyc