Если вы пользуетесь Android-устройством или в некоторых случаях iPhone, приложение Telegram на них позволяет хакерам найти ваше точное местоположение. Происходит это тогда, когда у вас включена функция для подключения к географически близким пользователям. Исследователь нашёл эту уязвимость и сообщил о ней разработчикам Telegram, но закрывать её они не собираются.
Во всём виновата функция под названием «Люди поблизости» (People Nearby). По умолчанию она в приложение выключена. Когда функцию включают, показывается географическое расстояние до других людей с такой же включенной функцией в рамках одного региона. Когда функция используется как задумано, она может быть полезной и без проблем с конфиденциальностью. Сообщение о том, что кто-то находится на расстоянии километра или 600 м не позволяет точно определить координаты человека.
Независимый исследователь по имени Ахмед Хассан показал, как функцию можно применять для определения точного местоположения. При помощи общедоступного программного обеспечения и рутированного Android-устройства он смог отправить на серверы Telegram ложные данные относительно местоположения. Используя три разных местоположения и измеряя сообщаемые функцией расстояния, он точно определил местоположение людей.
Telegram позволяет создавать локальные группы в пределах одной географической территории. Скамеры часто подделывают своё местоположение при вступлении в подобные группы и затем продвигают фальшивые инвестиции в биткоины, инструменты взлома, украденные персональные данные и т.д.
Исследователь пишет, что большинство людей не понимают, что выдают своё местоположение и даже домашний адрес. Это делает их потенциальными жертвами мошенников.
Доказательное видео показывает, как он определил адрес пользователя с функцией «Люди поблизости» при помощи бесплатного GPS-приложения, чтобы его смартфон сообщил три разных местоположения. Затем вокруг каждого местоположения была проведена окружность, радиусом которой было сообщаемое Telegram расстояние. В месте пересечении трёх окружностей и находится пользователь.
Разработчики Telegram подтверждают, что функция в приложении по умолчанию выключена и что вполне ожидаемо, что при определённых обстоятельствах точное местоположение пользователя может быть определено.
Больше всего риску подвергаются обладатели Android-устройств, поскольку они определяют местоположение с наибольшей точностью. Недавно выпущенная система iOS 14 даёт только приблизительное местоположение.
Подобные проблемы встречаются не впервые. Похожая уязвимость была в приложении Tinder, разработчики которого затем разрешили определять местоположение с точностью до мили и добавляли случайные числа. Этот случай ещё раз напоминает, что при использовании GPS всегда есть вероятность, что ваше местоположение узнает кто-то посторонний.