Oprogramowanie, bez względu na to, jak bezpieczne, często wiąże się z ryzykiem niewłaściwego wykorzystania, zhakowany lub użyty jako narzędzie do hakowania innych osób.
Przez większość czasu, lhakerzy wykorzystują powszechnie używane i dostępne funkcje do złośliwych celów i to właśnie pokazał niedawno badacz ds. cyberbezpieczeństwa z zaszyfrowaną aplikacją Telegram.
Dla tych, którzy nadal nie są świadomi Telegrama, powinni wiedzieć, że eTo aplikacja do obsługi wiadomości na Androida i iOS który umożliwia bezpieczną komunikację. Aplikacja chroni połączenia i wymianę wiadomości, zdjęć, filmów i dokumentów za pomocą tak zwanego „szyfrowania od końca do końca”.
Mimo że aplikacja nie jest całkowicie bezpieczna, jak mogłoby się wydawać a to dlatego, że aplikacja Telegram ułatwia hakerom znalezienie dokładnej lokalizacji urządzenia z systemem Android i aktywuje funkcję, która umożliwia łączenie się użytkownikom znajdującym się w pobliżu.
Luka występuje również w niektórych iPhone'ach a badacz, który odkrył lukę w ujawnianiu lokalizacji i odpowiedzialnie zgłosił to programistom Telegrama, powiedział, że programiści nie zamierzają tego naprawiać.
Problem jest spowodowany funkcją o nazwie „Zamknij ludzi” że domyślnie jest wyłączona, a gdy użytkownicy ją włączą, ich odległość geograficzna jest pokazywana innym osobom, które ją włączyły i które znajdują się w tym samym regionie geograficznym (lub fałszują swoją lokalizację).
Gdy opcja „Zamknij osoby” jest używana zgodnie z przeznaczeniem, jest to przydatna funkcja, która nie budzi żadnych lub prawie żadnych obaw dotyczących prywatności. Jednak powiadomienie, że ktoś jest w odległości 1 kilometra lub 600 metrów, nadal sprawia, że stalkerzy odgadują, gdzie dokładnie się znajdujesz.
Na szczęście ludzie muszą włączyć tę funkcję, ponieważ jest ona automatycznie wyłączana po aktualizacji. Dlatego nie każdy jest na to podatny, jednak jest problem, ponieważ nie wszyscy użytkownicy wiedzą, że aktywując „Osoby w pobliżu” udostępniają swoją lokalizację, a nawet swój osobisty adres.
Poniżej znajduje się odpowiedź deweloperów Telegrama, kiedy niezależny badacz Ahmed Hassan przesłał im dowód luki w zabezpieczeniach w postaci raportu wideo:
"Dziękujemy za skontaktowanie się z nami. Użytkownicy w sekcji „Osoby w pobliżu” celowo udostępniają swoją lokalizację, a ta funkcja jest domyślnie wyłączona. Oczekuje się, że dokładne określenie lokalizacji będzie możliwe pod pewnymi warunkami. Niestety, ten przypadek nie jest objęty naszym programem wykrywania błędów ”.
Hassan mówi, że wygrał bonus kiedy odkryłeś taką lukę w aplikacji do obsługi wiadomości Line, który również pełni tę samą funkcję „Bliscy ludzie”. W tym pierwszym przypadku programiści naprawili problem.
Korzystanie z łatwo dostępnego oprogramowania, Hassan był w stanie wysłać serwery Telegrama do trzech fałszywych lokalizacji w okolicy przybliżonej lokalizacji celu, z „zrootowanego” telefonu z Androidem.
W ten sposób był w stanie poprawić dokładność lokalizacji celu poprzez zmniejszenie promienia jego położenia geograficznego. Dlatego mierząc odpowiednią odległość zgłaszaną przez pobliskie osoby, jest w stanie zidentyfikować lokalizację użytkownika.
Ale wydaje się, że problemy z udostępnianiem lokalizacji aplikacji nie kończą się na samej funkcji.
Telegram daje również użytkownikom możliwość tworzenia grup lokalnych przy użyciu lokalizacji geograficznych, na przykład grupy społeczności na określonym przedmieściu. Zdaniem naukowca grupy te są również szczególnie narażone na ataki hakerów. Każdy, kto ma wystarczającą wiedzę na temat funkcji, będzie mógł sfałszować lokalizację, odszyfrować te grupy.
„Większość użytkowników nie rozumie, że udostępniają swoją lokalizację i być może adres domowy” - napisał Hassan w oświadczeniu przesłanym e-mailem. „Jeśli kobieta używa tej funkcji do czatowania z lokalną grupą, może być nękana przez niechcianych użytkowników".
Film demonstracyjny, który badacz wysłał do Telegrama pokazał, jak rozpoznaje adres użytkownika z funkcji „Osoby w pobliżu” podczas korzystania z bezpłatnej aplikacji GPS Location Spoofer do raportowania tylko trzech różnych lokalizacji.
Następnie narysował okrąg wokół każdej z trzech lokalizacji, podając promień odległości podanej przez Telegram i określając dokładne położenie użytkownika w miejscu przecięcia się trzech okręgów.
źródło: https://blog.ahmed.nyc