软件,无论多么安全,通常都存在被滥用的风险,被黑客入侵或用作黑客入侵他人的工具。
大部分时间黑客利用广泛使用的可用功能 出于恶意目的 这就是网络安全研究人员最近展示的 与加密的应用程序 电报。
对于那些仍不了解电报的人,他们应该知道这是适用于Android和iOS的消息收发应用程序 允许安全通信。 该应用程序使用所谓的“端到端加密”来保护呼叫,消息,照片,视频和文档的交换。
即使您可能认为应用程序并不完全安全 这是因为该应用程序 电报可让黑客轻松找到Android设备的确切位置 并激活一项功能,该功能允许地理位置较近的用户进行连接。
该漏洞在某些iPhone上也存在 研究人员发现了位置披露漏洞,并负责地向Telegram开发人员报告了该漏洞。研究人员表示,开发人员无意修复此漏洞。
问题是由于一个名为“ Close People”的功能引起的 默认情况下,该功能处于禁用状态,并且当用户启用该功能时,他们的地理距离会显示给其他启用该功能且位于同一地理区域(或伪造其位置)的人。
按预期方式使用“附近的人”选项时,它是一项有用的功能,几乎不会引起隐私问题。 但是,有人在1公里或600米之外的通知仍然使跟踪者猜测您的确切位置。
幸运的是, 人们需要启用此功能,因为该功能已自动禁用 升级后。 因此,并不是每个人都容易受到影响,但是存在一个问题,因为并非所有用户都知道通过激活“附近的人”,他们正在共享他们的位置,甚至是他们的个人地址。
以下是Telegram开发人员的回应,当时独立研究员Ahmed Hassan以视频报告的形式向他们发送了该漏洞的证明:
“感谢您与我们联系。 “附近的人”部分中的用户有意共享其位置,并且默认情况下禁用此功能。 期望在某些条件下可以确定确切位置。 不幸的是,我们的漏洞赏金计划并未涵盖这种情况。”
哈桑说他赢了奖金 当您发现此类漏洞时 在“行”消息传递应用程序中, 它也具有相同的功能«Close people»。 在第一种情况下,开发人员解决了该问题。
使用易于访问的软件, 哈桑能够将Telegram的服务器发送到周围的三个假地点 通过“扎根”的Android手机确定目标的大概位置。
这样,他能够通过减小目标地理位置的半径来提高目标的定位精度。 因此,通过测量附近人报告的相应距离,可以识别用户的位置。
但是,似乎应用位置共享问题并不仅限于此功能。
电报还使用户能够创建本地组 使用地理位置,例如特定郊区的社区团体。 据研究人员称,这些群体也特别容易受到黑客的攻击。 对该功能有足够了解的任何人都可以欺骗该位置,并解密这些组。
哈桑在一封电子邮件声明中写道:“大多数用户不知道他们正在共享自己的位置,也许是他们的家庭住址。” «如果女性使用此功能与本地群组聊天,则可能会受到有害用户的骚扰«。
研究人员发送给Telegram的演示视频 展示了他如何通过“附近的人”功能识别用户的地址 当您使用免费的GPS Location Spoofer应用程序仅报告三个不同位置时。
然后,他在三个位置的每一个周围绘制了一个圆,其半径为Telegram报告的距离半径,并且用户的精确位置是三个圆的相交位置。
数据来源: https://blog.ahmed.nyc