Programvare, uansett hvor sikker, risikerer ofte å bli misbrukt, hacket eller brukt som et verktøy for å hacke andre mennesker.
Mesteparten av tiden, lhackere utnytter funksjoner som er mye brukt og tilgjengelig for ondsinnede formål og dette demonstrerte en cybersikkerhetsforsker nylig med den krypterte applikasjonen av Telegram.
For de som fremdeles ikke er klar over Telegram, bør de vite at eDet er en meldingsapp for Android og iOS som muliggjør sikker kommunikasjon. Applikasjonen beskytter samtaler og utveksling av meldinger, bilder, videoer og dokumenter ved hjelp av det som kalles "end-to-end-kryptering."
Selv om applikasjonen ikke er helt trygg som du kanskje tror og dette er fordi applikasjonen Telegram gjør det enkelt for hackere å finne den nøyaktige plasseringen til en Android-enhet og aktiverer en funksjon som lar brukere som er geografisk nærme koble til.
Sårbarheten finnes også på noen iPhones Og forskeren, som oppdaget sårbarheten rundt avsløring av sted og rapporterte ansvarlig til Telegram-utviklere, sa at utviklerne ikke hadde til hensikt å fikse det.
Problemet skyldes en funksjon kalt "Close People" at det som standard er deaktivert, og når brukere aktiverer det, blir deres geografiske avstand vist for andre mennesker som aktiverte det og som er i samme geografiske område (eller som forfalsker plasseringen).
Når alternativet "Lukk folk" brukes etter hensikten, er det en nyttig funksjon som gir liten eller ingen bekymringer for personvernet. Et varsel om at noen er 1 kilometer eller 600 meter unna, lar imidlertid stalkere gjette nøyaktig hvor du er.
Heldigvis folk må aktivere denne funksjonen fordi den automatisk deaktiveres etter oppgradering. Derfor er ikke alle utsatt, men det er et problem, siden ikke alle brukere vet at ved å aktivere "Nærliggende mennesker" deler de sin plassering eller til og med sin personlige adresse.
Nedenfor er svaret fra Telegram-utviklerne, da uavhengig forsker Ahmed Hassan sendte dem bevis på sårbarheten i form av en videorapport:
"Takk for at du kontaktet oss. Brukere i delen "Nærliggende personer" deler bevisst plasseringen sin, og denne funksjonen er deaktivert som standard. Det forventes at det vil være mulig å bestemme den nøyaktige plasseringen under visse forhold. Dessverre dekkes ikke denne saken av vårt bug bounty-program. "
Hassan sier at han vant en bonus da du oppdaget en slik sårbarhet i Line messaging-applikasjonen, som også har samme funksjon «Lukk folk». I dette første tilfellet løste utviklerne problemet.
Ved hjelp av lett tilgjengelig programvare, Hassan var i stand til å sende Telegrams servere til tre falske steder rundt av den omtrentlige plasseringen av målet, fra en "rotfestet" Android-telefon.
Ved å gjøre dette var han i stand til å forbedre målets posisjonsnøyaktighet ved å redusere radiusen til dets geografiske beliggenhet. Derfor, ved å måle den tilsvarende avstanden som rapporteres av nærliggende mennesker, er den i stand til å identifisere plasseringen til en bruker.
Men det ser ut til at appdelingsstedsproblemer ikke ender med funksjonen alene.
Telegram gir også brukerne muligheten til å opprette lokale grupper ved hjelp av geografiske steder, for eksempel en samfunnsgruppe i en bestemt forstad. Disse gruppene er også spesielt sårbare for hackere, ifølge forskeren. Alle med tilstrekkelig kunnskap om funksjonen vil være i stand til å forfalske plasseringen, tyde disse gruppene.
"De fleste brukere forstår ikke at de deler sin plassering og kanskje hjemmeadressen," skrev Hassan i en e-postmelding. «Hvis en kvinne bruker denne funksjonen til å chatte med en lokal gruppe, kan hun bli trakassert av uønskede brukere".
Demonstrasjonsvideoen som forskeren sendte til Telegram viste hvordan han kunne skjelne adressen til en bruker fra funksjonen "Folk i nærheten" når du brukte en gratis GPS Location Spoofer-app for å rapportere om bare tre forskjellige steder.
Deretter tegnet han en sirkel rundt hvert av de tre stedene med en radius av avstanden som ble rapportert av Telegram, og hvor den nøyaktige plasseringen til brukeren var der de tre sirkler krysset hverandre.
Fuente: https://blog.ahmed.nyc