Software, hoe veilig ook, loopt vaak het risico misbruikt te worden, gehackt of gebruikt als hulpmiddel om andere mensen te hacken.
Meestal lhackers maken gebruik van veelgebruikte en beschikbare functies voor kwaadaardige doeleinden en dit is wat een cybersecurity-onderzoeker onlangs heeft aangetoond met de gecodeerde applicatie van Telegram.
Voor degenen die nog steeds niet op de hoogte zijn van Telegram, moeten ze weten dat eHet is een berichten-app voor Android en iOS die veilige communicatie mogelijk maakt. De applicatie beschermt oproepen en uitwisselingen van berichten, foto's, video's en documenten met behulp van zogenaamde "end-to-end-codering".
Ook al is de applicatie niet helemaal veilig zoals je misschien denkt en dit komt omdat de applicatie Telegram maakt het voor hackers gemakkelijk om de exacte locatie van een Android-apparaat te vinden en activeert een functie waarmee gebruikers die geografisch dichtbij zijn, verbinding kunnen maken.
De kwetsbaarheid bestaat ook op sommige iPhones en de onderzoeker, die de kwetsbaarheid voor het vrijgeven van locaties ontdekte en dit op verantwoorde wijze aan Telegram-ontwikkelaars rapporteerde, zei dat de ontwikkelaars niet van plan waren het te repareren.
Het probleem wordt veroorzaakt door een functie met de naam 'Mensen sluiten' dat het standaard is uitgeschakeld en wanneer gebruikers het inschakelen, wordt hun geografische afstand getoond aan andere mensen die het hebben ingeschakeld en die zich in dezelfde geografische regio bevinden (of die hun locatie vervalsen).
Wanneer de optie "Mensen sluiten" wordt gebruikt zoals bedoeld, is dit een nuttige functie die weinig of geen zorgen over de privacy geeft. Een melding dat er iemand op 1 kilometer of 600 meter afstand is, laat stalkers echter nog steeds raden waar u zich precies bevindt.
Gelukkig, mensen moeten deze functie inschakelen omdat deze automatisch wordt uitgeschakeld na upgrade. Daarom is niet iedereen vatbaar, maar er is een probleem, aangezien niet alle gebruikers weten dat ze door het activeren van "Mensen in de buurt" hun locatie of zelfs hun persoonlijke adres delen.
Hieronder vindt u de reactie van de Telegram-ontwikkelaars, toen onafhankelijke onderzoeker Ahmed Hassan hen een bewijs van de kwetsbaarheid stuurde in de vorm van een videorapport:
"Bedankt dat je contact met ons hebt opgenomen. Gebruikers in het gedeelte 'Mensen in de buurt' delen opzettelijk hun locatie, en deze functie is standaard uitgeschakeld. De verwachting is dat onder bepaalde voorwaarden de exacte locatie kan worden bepaald. Helaas wordt deze zaak niet gedekt door ons bugbounty-programma. "
Hassan zegt dat hij een bonus heeft gewonnen toen u een dergelijke kwetsbaarheid ontdekte in de Line Messaging-applicatie, die ook dezelfde functie heeft «Mensen sluiten». In dit eerste geval hebben de ontwikkelaars het probleem opgelost.
Met gemakkelijk toegankelijke software Hassan kon de servers van Telegram naar drie neplocaties sturen van de geschatte locatie van het doelwit, vanaf een "geroote" Android-telefoon.
Door dit te doen, was hij in staat om de locatienauwkeurigheid van het doelwit te verbeteren door de straal van zijn geografische locatie te verkleinen. Daarom kan het, door de overeenkomstige afstand te meten die wordt gerapporteerd door mensen in de buurt, de locatie van een gebruiker identificeren.
Maar het lijkt erop dat de problemen met het delen van app-locaties niet alleen eindigen met de functie.
Telegram geeft gebruikers ook de mogelijkheid om lokale groepen te maken het gebruik van geografische locaties, bijvoorbeeld een gemeenschapsgroep in een specifieke buitenwijk. Deze groepen zijn volgens de onderzoeker ook bijzonder kwetsbaar voor hackers. Iedereen met voldoende kennis van de functie kan de locatie vervalsen en deze groepen ontcijferen.
"De meeste gebruikers begrijpen niet dat ze hun locatie en misschien hun thuisadres delen", schrijft Hassan in een verklaring per e-mail. «Als een vrouw deze functie gebruikt om te chatten met een lokale groep, kan ze worden lastiggevallen door ongewenste gebruikers".
De demonstratievideo die de onderzoeker naar Telegram heeft gestuurd liet zien hoe hij het adres van een gebruiker kon onderscheiden via de functie "Mensen in de buurt" wanneer u een gratis GPS Location Spoofer-app gebruikte om op slechts drie verschillende locaties te rapporteren.
Vervolgens tekende hij een cirkel rond elk van de drie locaties met een straal van de door Telegram gerapporteerde afstand en waar de exacte positie van de gebruiker was waar de drie cirkels elkaar kruisten.
bron: https://blog.ahmed.nyc