תכונת טלגרם מאפשרת לאחרים לדעת את מיקומך המדויק 

Darkcrizt

4 דקות

תוכנה, מאובטחת ככל שתהיה, מסתכנת לרוב בשימוש לרעה, פרוצים או משמשים ככלי לפריצה לאנשים אחרים.

רוב הזמן, אניהאקרים מנצלים פונקציות זמינות ונפוצות למטרות זדוניות וזה מה שהוכיח לאחרונה חוקר אבטחת סייבר עם היישום המוצפן של מברק.

למי שעדיין לא מודע לטלגרם, עליו לדעת ש- es אפליקציית העברת הודעות לאנדרואיד ו- iOS המאפשר תקשורת מאובטחת. היישום מגן על שיחות והחלפת הודעות, תמונות, קטעי וידאו ומסמכים באמצעות מה שמכונה "הצפנה מקצה לקצה".

למרות שהיישום אינו בטוח לחלוטין כפי שניתן לחשוב וזה בגלל שהיישום מברק מקל על האקרים למצוא את המיקום המדויק של מכשיר אנדרואיד ומפעיל תכונה המאפשרת למשתמשים הקרובים גיאוגרפית להתחבר.

הפגיעות קיימת גם במכשירי אייפון מסוימים והחוקר, שגילה את פגיעות גילוי המיקום ודיווח עליה באחריות למפתחי טלגרם, אמר כי היזמים לא מתכוונים לתקן אותה.

הבעיה נובעת מפונקציה הנקראת "אנשים קרובים" שכברירת מחדל, הוא מושבת וכאשר משתמשים מאפשרים זאת, המרחק הגאוגרפי שלהם מוצג לאנשים אחרים שהפעילו אותו ונמצאים באותו אזור גיאוגרפי (או שמזייפים את מיקומם).

כאשר האפשרות "אנשים קרובים" משמשת כמתוכנן, זו תכונה שימושית שמעוררת מעט או לא חששות בנוגע לפרטיות. עם זאת, הודעה שמישהו נמצא במרחק של קילומטר אחד או 1 מטר משם עדיין משאירה את העקבים לנחש בדיוק היכן אתה נמצא.

למרבה המזל אנשים צריכים להפעיל תכונה זו מכיוון שהיא מושבתת אוטומטית לאחר השדרוג. לכן, לא כולם רגישים, אולם קיימת בעיה, מכיוון שלא כל המשתמשים יודעים שעל ידי הפעלת "אנשים קרובים", הם משתפים את מיקומם או אפילו את כתובתם האישית.

להלן התגובה של מפתחי הטלגרם, כאשר החוקר העצמאי אחמד חסן שלח להם הוכחה לפגיעות בצורה של דו"ח וידיאו:

"תודה שפנית אלינו. משתמשים בקטע "אנשים בקרבת מקום" משתפים בכוונה את מיקומם, ותכונה זו מושבתת כברירת מחדל. צפוי שיהיה ניתן לקבוע את המיקום המדויק בתנאים מסוימים. למרבה הצער, מקרה זה אינו מכוסה על ידי תוכנית הכמוס שלנו. "

חסן אומר שהוא זכה בבונוס כשגילית פגיעות כזו ביישום העברת ההודעות Line, שיש לו גם את אותה פונקציה «אנשים קרובים». במקרה ראשון זה, המפתחים תיקנו את הבעיה.

באמצעות תוכנה נגישה בקלות, חסן הצליח לשלוח את שרתי טלגרם לשלושה מיקומים מזויפים בסביבה של המיקום המשוער של היעד, מטלפון אנדרואיד "מושרש".

בכך הוא הצליח לשפר את דיוק המיקום של היעד על ידי הקטנת רדיוס מיקומו הגיאוגרפי. לכן, על ידי מדידת המרחק המתאים המדווח על ידי אנשים סמוכים, הוא מסוגל לזהות את מיקום המשתמש.

אך נראה כי בעיות שיתוף המיקום של האפליקציה אינן מסתיימות בתכונה בלבד.

טלגרם מעניקה למשתמשים גם את היכולת ליצור קבוצות מקומיות באמצעות מיקומים גיאוגרפיים, כמו למשל קבוצת קהילה בפרבר מסוים. קבוצות אלו חשופות במיוחד להאקרים, לפי החוקרת. כל מי שיש לו ידע מספיק על הפונקציה יוכל לזייף את המיקום, לפענח קבוצות אלה.

"רוב המשתמשים לא מבינים שהם משתפים את מיקומם ואולי את כתובת ביתם", כתב חסן בהודעת דוא"ל. «אם אישה משתמשת בתכונה זו כדי לשוחח עם קבוצה מקומית, היא עלולה להיות מוטרדת על ידי משתמשים לא רצויים".

סרטון ההדגמה ששלח החוקר לטלגרם הראה כיצד הוא יכול להבחין בכתובת של משתמש מהפונקציה "אנשים קרובים" כאשר השתמשת באפליקציית GPS Spoofer בחינם כדי לדווח על שלושה מיקומים שונים בלבד.

לאחר מכן הוא צייר מעגל סביב כל אחד משלושת המיקומים עם רדיוס המרחק שדיווח על ידי מברק והיכן מיקומו המדויק של המשתמש היה במקום בו הצטלבו שלושת המעגלים.

מקור: https://blog.ahmed.nyc


השאירו את התגובה שלכם

כתובת הדוא"ל שלך לא תפורסם. שדות חובה מסומנים *

*

*

  1. אחראי לנתונים: מיגל אנחל גטון
  2. מטרת הנתונים: בקרת ספאם, ניהול תגובות.
  3. לגיטימציה: הסכמתך
  4. מסירת הנתונים: הנתונים לא יועברו לצדדים שלישיים אלא בהתחייבות חוקית.
  5. אחסון נתונים: מסד נתונים המתארח על ידי Occentus Networks (EU)
  6. זכויות: בכל עת תוכל להגביל, לשחזר ולמחוק את המידע שלך.