В одном из обновлений Telegram, появилась функция «Люди поблизости», с помощью которой пользователи могут найти других пользователей поблизости для создания совместного чата.
Используя служебную программу, которая имитирует местоположение устройства Android, исследователь смог определить расстояние до людей из трех разных точек, а затем использовать трилатерацию, чтобы точно определить, где они находятся. Исследователь смог получить точные домашние адреса с помощью данного метода, что технически не сложно.
Эксперт сообщил об этой проблеме разработчикам в надежде получить награду за обнаруженный баг, но ему отказали, сообщив:
«Пользователи в разделе «Люди поблизости» намеренно сообщают свое местоположение, и эта функция по умолчанию отключена. Предполагается, что определение точного местоположения возможно при определенных условиях».
«Если вы активируете функцию отображения своего местоположения на карте, вы публикуете свой домашний адрес в Интернете. Многие пользователи не знают об этом, когда включают данную функцию», – говорит исследователь.
Он также считает, что существует широко распространенная проблема, когда злоумышленники подделывают свое местоположение, присоединяются к местным группам и рассылают пользователям спам или используют другие виды мошенничества, что, по его утверждению, свидетельствует о плохой безопасности приложений.
В часто задаваемых вопросах Telegram утверждает, что он «более безопасен, чем другие популярные мессенджеры, такие как WhatsApp и Line», благодаря использованию своих протоколов безопасности, но не учитывает риски со стороны злоумышленников.
Подобные проблемы с местоположением возникали и раньше с другими приложениями. Исследователь обнаружил ту же уязвимость в приложении для обмена сообщениями Line, которое, по его словам, «они исправили, добавив случайное число в пункт назначения пользователя».
Telegram мог бы стать лучше. Редакция The Register установила Telegram на устройство Android и обнаружила, что включение функции «Люди поблизости» и выбор «Показать ваш профиль» отображает предупреждение о том, что «находящиеся поблизости пользователи смогут просматривать ваш профиль и отправлять вам сообщения. Это может помочь вам найти новых друзей, но также может привлечь чрезмерное внимание ".
В нем не сообщается, что незнакомцы с небольшим количеством “продвинутых программ” могут легко узнать, где вы живете. Ни в вышеупомянутом FAQ, ни даже в техническом FAQ «для технически подкованных» об этом не говорится. Основное внимание, как и раньше, уделяется использованию шифрования.
Угрозы безопасности
• Уязвимость WinRAR позволяет обходить предупреждения безопасности Mark of the Web в Windows
• Apple устранила более 50 уязвимостей в свежих обновлениях iOS, iPadOS и macOS
• Вирус Triada на поддельных смартфонах крадёт Telegram-аккаунты и криптовалюту
• Атака «Фишинг как услуга» использует DNS-over-HTTPS для обхода обнаружения
• Mozilla предупреждает о критической уязвимости обхода песочницы в Firefox для Windows
• Популярные расширения Chrome взломали. Как защитить себя?