Programvara oavsett hur säker den är, riskerar ofta att missbrukas, hackad eller används som ett verktyg för att hacka andra människor.
För det mesta, lhackare utnyttjar allmänt använda och tillgängliga funktioner för skadliga ändamål och detta visade en cybersäkerhetsforskare nyligen med den krypterade applikationen av Telegram.
För dem som fortfarande inte känner till Telegram, bör de veta att es en meddelandeapp för Android och iOS som möjliggör säker kommunikation. Applikationen skyddar samtal och utbyte av meddelanden, foton, videor och dokument med det som kallas "end-to-end-kryptering."
Även om applikationen inte är helt säker som du kanske tror och detta beror på att ansökan Telegram gör det enkelt för hackare att hitta den exakta platsen för en Android-enhet och aktiverar en funktion som gör det möjligt för användare som är geografiskt nära att ansluta.
Sårbarheten finns också på vissa iPhones och forskaren, som upptäckte sårbarheten för avslöjande av plats och rapporterade ansvarigt till Telegram-utvecklare, sa att utvecklarna inte hade för avsikt att fixa det.
Problemet beror på en funktion som heter "Stäng människor" att det som standard är inaktiverat och när användare aktiverar det visas deras geografiska avstånd för andra personer som aktiverat det och som befinner sig i samma geografiska område (eller som förfalskar sin plats).
När alternativet "Personer i närheten" används som avsett är det en användbar funktion som väcker små eller inga frågor om integritet. Men ett meddelande om att någon är 1 kilometer eller 600 meter bort gör att stalkers fortfarande gissar exakt var du är.
Lyckligtvis människor måste aktivera den här funktionen eftersom den inaktiveras automatiskt efter uppgradering. Därför är inte alla mottagliga, men det finns ett problem, eftersom inte alla användare vet att genom att aktivera "Personer i närheten" delar de sin plats eller till och med sin personliga adress.
Nedan följer svaret från Telegram-utvecklarna, när den oberoende forskaren Ahmed Hassan skickade dem bevis på sårbarheten i form av en videorapport:
"Tack för att du kontaktar oss. Användare i avsnittet "Personer i närheten" delar medvetet sin plats och den här funktionen är inaktiverad som standard. Det förväntas att det kommer att vara möjligt att bestämma den exakta platsen under vissa förhållanden. Tyvärr täcks inte detta fall av vårt bug bounty-program. ”
Hassan säger att han vann en bonus när du upptäckte en sådan sårbarhet i Line messaging-applikationen, som också har samma funktion «Stäng människor». I det första fallet fixade utvecklarna problemet.
Använda lättillgänglig programvara, Hassan kunde skicka Telegrams servrar till tre falska platser runt av den ungefärliga platsen för målet, från en "rotad" Android-telefon.
Genom att göra det kunde han förbättra målets platsnoggrannhet genom att minska radien för dess geografiska läge. Genom att mäta motsvarande avstånd som rapporterats av närliggande personer kan det därför identifiera användarens plats.
Men det verkar som att problem med appens platsdelning inte slutar med funktionen ensam.
Telegram ger också användare möjlighet att skapa lokala grupper använder geografiska platser, till exempel en grupp i en viss förort. Dessa grupper är också särskilt utsatta för hackare, enligt forskaren. Den som har tillräcklig kunskap om funktionen kommer att kunna förfalska platsen, dechiffrera dessa grupper.
"De flesta användare förstår inte att de delar sin plats och kanske sin hemadress", skrev Hassan i ett e-postmeddelande. «Om en kvinna använder den här funktionen för att chatta med en lokal grupp kan hon bli trakasserad av oönskade användare".
Demonstrationsvideon som forskaren skickade till Telegram visade hur han kunde urskilja en användares adress från funktionen "Personer i närheten" när du använde en gratis GPS Location Spoofer-app för att rapportera om bara tre olika platser.
Han ritade sedan en cirkel runt var och en av de tre platserna med en radie av det avstånd som rapporterades av Telegram och där användarens exakta position var där de tre cirklarna korsade varandra.
Fuente: https://blog.ahmed.nyc