Il software non importa quanto sia sicuro, spesso corre il rischio di essere utilizzato in modo improprio, violato o utilizzato come strumento per hackerare altre persone.
La maggior parte delle volte, lgli hacker sfruttano funzionalità ampiamente utilizzate e disponibili per scopi dannosi e questo è ciò che ha recentemente dimostrato un ricercatore di cybersecurity con l'applicazione crittografata di Telegramma.
Per coloro che non sono ancora a conoscenza di Telegram, dovrebbero sapere che eÈ un'app di messaggistica per Android e iOS che consente una comunicazione sicura. L'applicazione protegge le chiamate e gli scambi di messaggi, foto, video e documenti utilizzando la cosiddetta "crittografia end-to-end".
Anche se l'applicazione non è completamente sicura come potresti pensare e questo perché l'applicazione Telegram consente agli hacker di trovare facilmente la posizione esatta di un dispositivo Android e attiva una funzionalità che consente agli utenti geograficamente vicini di connettersi.
La vulnerabilità esiste anche su alcuni iPhone e il ricercatore, che ha scoperto la vulnerabilità di divulgazione della posizione e l'ha segnalata responsabilmente agli sviluppatori di Telegram, ha detto che gli sviluppatori non intendevano risolverlo.
Il problema è dovuto a una funzione chiamata "Close People" che per impostazione predefinita è disabilitato e quando gli utenti lo abilitano, la loro distanza geografica viene mostrata ad altre persone che lo hanno abilitato e che si trovano nella stessa regione geografica (o che stanno falsificando la loro posizione).
Quando l'opzione "Chiudi persone" viene utilizzata come previsto, è una funzione utile che solleva pochi o nessun problema di privacy. Tuttavia, una notifica che qualcuno si trova a 1 chilometro o 600 metri di distanza lascia comunque agli stalker la certezza di dove ti trovi.
Fortunatamente, le persone devono abilitare questa funzione perché è automaticamente disabilitata dopo l'aggiornamento. Pertanto, non tutti sono suscettibili, tuttavia, c'è un problema, poiché non tutti gli utenti sanno che attivando "Persone vicine", stanno condividendo la loro posizione o anche il loro indirizzo personale.
Di seguito è riportata la risposta degli sviluppatori di Telegram, quando il ricercatore indipendente Ahmed Hassan ha inviato loro una prova della vulnerabilità sotto forma di un rapporto video:
"Grazie per averci contattato. Gli utenti nella sezione "Persone nelle vicinanze" condividono intenzionalmente la loro posizione e questa funzione è disabilitata per impostazione predefinita. Si prevede che sarà possibile determinare la posizione esatta in determinate condizioni. Sfortunatamente, questo caso non è coperto dal nostro programma di bug bounty. "
Hassan dice di aver vinto un bonus quando hai scoperto tale vulnerabilità nell'applicazione di messaggistica Line, che ha anche la stessa funzione «Chiudi persone». In questo primo caso, gli sviluppatori hanno risolto il problema.
Utilizzando un software facilmente accessibile, Hassan è stato in grado di inviare i server di Telegram a tre posizioni false in giro della posizione approssimativa del target, da un telefono Android "rooted".
In questo modo, è stato in grado di migliorare la precisione della posizione del target riducendo il raggio della sua posizione geografica. Pertanto, misurando la distanza corrispondente riportata dalle persone vicine, è in grado di identificare la posizione di un utente.
Ma sembra che i problemi di condivisione della posizione dell'app non finiscano con la sola funzionalità.
Telegram offre inoltre agli utenti la possibilità di creare gruppi locali utilizzando posizioni geografiche, come un gruppo comunitario in un sobborgo specifico, ad esempio. Questi gruppi sono anche particolarmente vulnerabili agli hacker, secondo il ricercatore. Chiunque abbia una conoscenza sufficiente della funzione sarà in grado di falsificare la posizione, decifrare questi gruppi.
"La maggior parte degli utenti non capisce di condividere la propria posizione e forse il proprio indirizzo di casa", ha scritto Hassan in una dichiarazione inviata tramite posta elettronica. «Se una donna utilizza questa funzione per chattare con un gruppo locale, potrebbe essere molestata da utenti indesiderati«.
Il video dimostrativo che il ricercatore ha inviato a Telegram ha mostrato come poteva distinguere l'indirizzo di un utente dalla funzione "Persone vicine" quando hai utilizzato un'app GPS Location Spoofer gratuita per segnalare solo tre posizioni diverse.
Ha quindi tracciato un cerchio attorno a ciascuna delle tre posizioni con un raggio della distanza riportata da Telegram e dove la posizione precisa dell'utente era dove i tre cerchi si intersecavano.
fonte: https://blog.ahmed.nyc