軟件,無論多麼安全,通常都存在被濫用的風險,被黑客入侵或用作黑客入侵他人的工具。
大部分時間黑客利用可用和廣泛使用的功能 出於惡意目的 這就是網絡安全研究人員最近展示的 與加密的應用程序 電報。
對於那些仍不了解電報的人,他們應該知道這是適用於Android和iOS的消息收發應用程序 允許安全通信。 該應用程序使用所謂的“端到端加密”來保護呼叫,消息,照片,視頻和文檔的交換。
即使您可能認為應用程序並不完全安全 這是因為該應用程序 電報可讓黑客輕鬆找到Android設備的確切位置 並激活一項功能,該功能允許地理位置較近的用戶進行連接。
該漏洞在某些iPhone上也存在 研究人員發現了位置披露漏洞,並負責地向Telegram開發人員報告了該漏洞。研究人員表示,開發人員無意修復此漏洞。
問題是由於一個名為“ Close People”的功能引起的 默認情況下,它是禁用的,當用戶啟用它時,他們的地理距離會顯示給其他啟用該功能並且在同一地理區域(或偽造其位置)的人。
當按預期使用“ Close People”選項時,它是一項有用的功能,幾乎不會引起隱私問題。 但是,有人在1公里或600米之外的通知仍然使跟踪者猜測您的確切位置。
幸運的是, 人們需要啟用此功能,因為該功能已自動禁用 升級後。 因此,並不是每個人都容易受到影響,但是存在一個問題,因為並非所有用戶都知道通過激活“附近的人”,他們正在共享他們的位置,甚至是他們的個人地址。
以下是Telegram開發人員的反饋,當時獨立研究員Ahmed Hassan以視頻報告的形式向他們發送了該漏洞的證明:
“感謝您與我們聯繫。 “附近的人”部分中的用戶有意共享其位置,並且默認情況下禁用此功能。 期望在某些條件下可以確定確切位置。 不幸的是,我們的漏洞賞金計劃並未涵蓋這種情況。”
哈桑說他贏了獎金 當您發現此類漏洞時 在“行”消息傳遞應用程序中, 它也具有相同的功能«Close people»。 在第一種情況下,開發人員解決了該問題。
使用易於訪問的軟件, 哈桑能夠將Telegram的服務器發送到周圍的三個假地點 通過“紮根”的Android手機確定目標的大概位置。
通過這樣做,他能夠通過減小目標地理位置的半徑來提高目標的定位精度。 因此,通過測量附近人報告的相應距離,可以識別用戶的位置。
但是,似乎應用位置共享問題並不僅限於此功能。
電報還使用戶能夠創建本地組 使用地理位置,例如特定郊區的社區團體。 據研究人員稱,這些群體也特別容易受到黑客的攻擊。 對該功能有足夠了解的任何人都可以欺騙該位置,並解密這些組。
哈桑在一封電子郵件聲明中寫道:“大多數用戶不知道他們正在共享自己的位置,也許是他們的家庭住址。” «如果女性使用此功能與本地群組聊天,則可能會受到有害用戶的騷擾“。
研究人員發送給Telegram的演示視頻 展示了他如何通過“附近的人”功能識別用戶的地址 當您使用免費的GPS Location Spoofer應用程序僅報告三個不同位置時。
然後,他在三個位置的每個位置上繪製了一個圓,其半徑為Telegram報告的距離半徑,並且用戶的精確位置是三個圓的相交位置。