Программное обеспечение, независимо от того, насколько оно безопасно, часто рискует быть неправильно использованным, взломанный или использованный как инструмент для взлома других людей.
В большинстве случаев яхакеры используют широко используемые и доступные функции в злонамеренных целях и это недавно продемонстрировал исследователь кибербезопасности с зашифрованным приложением Telegram.
Тем, кто еще не знаком с Telegram, следует знать, что es приложение для обмена сообщениями для Android и iOS что обеспечивает безопасную связь. Приложение защищает звонки и обмен сообщениями, фотографиями, видео и документами с помощью так называемого «сквозного шифрования».
Хотя приложение не совсем безопасно, как вы могли подумать и это потому, что приложение Telegram позволяет хакерам легко найти точное местоположение Android-устройства и активирует функцию, позволяющую подключаться географически близким пользователям.
Уязвимость также существует на некоторых iPhone. а исследователь, который обнаружил уязвимость раскрытия местоположения и ответственно сообщил о ней разработчикам Telegram, сказал, что разработчики не собирались ее исправлять.
Проблема связана с функцией "Близкие люди" что по умолчанию он отключен, и когда пользователи включают его, их географическое расстояние отображается другим людям, которые его включили и находятся в том же географическом регионе (или которые фальсифицируют свое местоположение).
Когда опция «Закрыть людей» используется по назначению, это полезная функция, которая практически не вызывает проблем с конфиденциальностью. Однако уведомление о том, что кто-то находится на расстоянии 1 км или 600 метров, по-прежнему заставляет сталкеров догадываться, где именно вы находитесь.
К счастью, людям необходимо включить эту функцию, потому что она автоматически отключается после обновления. Поэтому не все восприимчивы, однако есть проблема, поскольку не все пользователи знают, что, активируя «Люди поблизости», они делятся своим местоположением или даже своим личным адресом.
Ниже представлен ответ разработчиков Telegram, когда независимый исследователь Ахмед Хассан прислал им доказательства уязвимости в виде видеоотчета:
"Благодарим Вас за обращение к нам. Пользователи в разделе «Люди поблизости» намеренно сообщают свое местоположение, и эта функция по умолчанию отключена. Ожидается, что при определенных условиях можно будет определить точное местоположение. К сожалению, этот случай не покрывается нашей программой поощрения ошибок ».
Хасан говорит, что выиграл бонус когда вы обнаружили такую уязвимость в приложении для обмена сообщениями Line, в котором тоже есть функция «Близкие люди». В этом первом случае разработчики устранили проблему.
Используя легкодоступное программное обеспечение, Хасан смог отправить серверы Telegram в три поддельных места поблизости. приблизительного местоположения цели с "рутированного" телефона Android.
Таким образом он смог повысить точность определения местоположения цели за счет уменьшения радиуса ее географического местоположения. Следовательно, измеряя соответствующее расстояние, сообщаемое людьми, находящимися поблизости, он может определить местонахождение пользователя.
Но похоже, что проблемы с совместным использованием местоположения приложения не ограничиваются одной функцией.
Telegram также дает пользователям возможность создавать локальные группы. с использованием географического местоположения, например, группы сообщества в определенном пригороде. По словам исследователя, эти группы также особенно уязвимы для хакеров. Любой, кто обладает достаточными знаниями о функции, сможет подделать местоположение, расшифровать эти группы.
«Большинство пользователей не понимают, что они сообщают свое местоположение и, возможно, свой домашний адрес», - написал Хасан в заявлении по электронной почте. «Если женщина использует эту функцию для общения с местной группой, она может подвергаться преследованиям со стороны нежелательных пользователей.».
Демонстрационное видео, которое исследователь отправил в Telegram показал, как он может отличить адрес пользователя от функции "Люди поблизости" когда вы использовали бесплатное приложение GPS Location Spoofer, чтобы сообщить только о трех разных местах.
Затем он нарисовал круг вокруг каждого из трех местоположений с радиусом расстояния, сообщенным Telegram, и где точное положение пользователя было там, где три круга пересекались.
источник: https://blog.ahmed.nyc