Neatkarīgi no tā, cik programmatūra ir droša, bieži vien pastāv ļaunprātīgas izmantošanas risks, uzlauzts vai izmantots kā rīks citu cilvēku uzlaušanai.
Lielāko daļu laika lhakeri izmanto plaši izmantotās un pieejamās funkcijas ļaunprātīgiem mērķiem un to nesen pierādīja kiberdrošības pētnieks ar šifrētu Telegram.
Tiem, kas joprojām nezina Telegram, viņiem jāzina, ka eTā ir ziņojumapmaiņas lietotne Android un iOS ierīcēm kas ļauj droši sazināties. Lietojumprogramma aizsargā zvanus un ziņojumu, fotoattēlu, video un dokumentu apmaiņu, izmantojot tā dēvēto "end-to-end šifrēšanu".
Pat ja lietojumprogramma nav pilnīgi droša, kā jūs domājat un tas ir tāpēc, ka pieteikums Telegramma ļauj hakeriem viegli atrast precīzu Android ierīces atrašanās vietu un aktivizē funkciju, kas ļauj lietotājiem, kuri atrodas ģeogrāfiski tuvu, izveidot savienojumu.
Neaizsargātība pastāv arī dažos iPhone tālruņos un pētnieks, kurš atklāja vietas atklāšanas ievainojamību un atbildīgi ziņoja par to Telegram izstrādātājiem, sacīja, ka izstrādātāji nedomāja to novērst.
Problēma ir saistīta ar funkciju ar nosaukumu "Close People" ka pēc noklusējuma tā ir atspējota un, kad lietotāji to iespējo, viņu ģeogrāfiskais attālums tiek parādīts citiem cilvēkiem, kuri to iespējoja un atrodas tajā pašā ģeogrāfiskajā reģionā (vai kuri vilto savu atrašanās vietu).
Ja opcija "Tuvumā esošie cilvēki" tiek izmantota atbilstoši paredzētajam, tā ir noderīga funkcija, kas rada maz vai vispār nerada bažas par privātumu. Tomēr paziņojums, ka kāds atrodas 1 kilometra vai 600 metru attālumā, joprojām atstāj vaicātājus precīzi nojaušot, kur jūs atrodaties.
Par laimi, cilvēkiem šī funkcija ir jāiespējo, jo tā tiek automātiski atspējota pēc jaunināšanas. Tāpēc ne visi ir uzņēmīgi, tomēr pastāv problēma, jo ne visi lietotāji zina, ka, aktivizējot funkciju “Tuvumā esošie cilvēki”, viņi kopīgo savu atrašanās vietu vai pat savu personīgo adresi.
Tālāk ir sniegta atbilde no Telegram izstrādātājiem, kad neatkarīgais pētnieks Ahmeds Hasans viņiem video atskaites veidā nosūtīja pierādījumus par ievainojamību:
"Paldies, ka sazinājāties ar mums. Lietotāji sadaļā “Tuvumā esošie cilvēki” apzināti kopīgo savu atrašanās vietu, un šī funkcija pēc noklusējuma ir atspējota. Paredzams, ka noteiktos apstākļos būs iespējams precīzi noteikt atrašanās vietu. Diemžēl uz šo gadījumu mūsu bug bounty programma neattiecas. ”
Hasans saka, ka viņš ieguva prēmiju kad atklājāt šādu ievainojamību līnijas ziņojumapmaiņas lietojumprogrammā, kurai ir arī tāda pati funkcija «Tuvie cilvēki». Šajā pirmajā gadījumā izstrādātāji novērsa problēmu.
Izmantojot viegli pieejamu programmatūru, Hasans varēja nosūtīt Telegram serverus uz trim viltotām vietām apkārt no mērķa aptuvenās atrašanās vietas, izmantojot "iesakņotu" Android tālruni.
To darot, viņš spēja uzlabot mērķa atrašanās vietas precizitāti, samazinot tā ģeogrāfiskās atrašanās vietas rādiusu. Tāpēc, izmērot atbilstošo attālumu, par kuru ziņojuši tuvumā esošie cilvēki, tas spēj noteikt lietotāja atrašanās vietu.
Bet šķiet, ka lietotnes atrašanās vietas koplietošanas problēmas nebeidzas tikai ar šo funkciju.
Telegramma arī ļauj lietotājiem izveidot vietējās grupas izmantojot ģeogrāfiskās atrašanās vietas, piemēram, kopienas grupu noteiktā priekšpilsētā. Šīs pētnieki arī ir īpaši neaizsargāti pret hakeriem, norāda pētnieks. Ikviens, kam ir pietiekamas zināšanas par funkciju, varēs mānīt atrašanās vietu, atšifrēt šīs grupas.
"Lielākā daļa lietotāju nesaprot, ka viņi kopīgo savu atrašanās vietu un, iespējams, mājas adresi," Hasans rakstīja paziņojumā pa e-pastu. «Ja sieviete izmanto šo funkciju, lai tērzētu ar vietējo grupu, nevēlami lietotāji viņu var uzmākties".
Demonstrācijas video, ko pētnieks nosūtīja Telegram parādīja, kā viņš var atšķirt lietotāja adresi no funkcijas "Tuvumā esošie cilvēki" kad izmantojāt bezmaksas GPS atrašanās vietas spoofer lietotni, lai ziņotu tikai par trim dažādām vietām.
Pēc tam viņš uzzīmēja apli ap visām trim vietām ar attāluma rādiusu, par kuru ziņoja Telegram, un vietā, kur lietotāja precīza atrašanās vieta bija trīs apļu krustošanās vieta.
Fuente: https://blog.ahmed.nyc