Хотите получать важные новости науки?
Подписаться
  • Добавить в закладки
  • Facebook
  • Twitter
  • Telegram
  • VK
  • Печать
  • Email
  • Скопировать ссылку
06.01.2021
Василий Парфенов
8
26 679

В Telegram обнаружен способ определить местонахождение пользователя

4.0

Благодаря функции «Люди рядом» можно с точностью до нескольких десятков метров определить местоположение неосторожного пользователя Telegram. Это открывает широкий простор для действий злоумышленников. Единственный способ обезопасить себя — контролировать использование геолокации мессенджером.

В Telegram обнаружен способ определить местонахождение пользователя
Ахмед продемонстрировал, как можно определить местоположение нужного пользователя / ©Ahmed’s Notes / Автор: Наталья Федосеева

Сообщение о найденной уязвимости опубликовал в своем блоге энтузиаст Ахмед Хасан (Ahmed Hassan, имя может быть не настоящим). Несколько лет назад он уже сообщал об аналогичном недостатке команде разработчиков мессенджера Line. Они выплатили ему премию в размере тысячи долларов и стали добавлять к отображаемому расстоянию между пользователями случайные числа.

Механизм злоупотребления подобными функциями заключается в банальной триангуляции и выглядит следующим образом. Злоумышленник может посмотреть, какое расстояние до целевого пользователя показано в приложении. Затем изменить свое местоположение еще два раза, попутно отмечая изменения расстояния. Чтобы определить сравнительно точное место, где находится цель, нужно нанести на карту три круга с центром в своих координатах и радиусом равным найденному расстоянию. Нужный пользователь будет в точке пересечения окружностей.

Причем для изменения своего местоположения совсем необязательно гулять по городу с телефоном в руке. Существует множество сравнительно простых способов подмены данных геолокации. Необходимые приложения доступны, например, в Google Play. В качестве демонстрации описанной атаки Хасан выбрал произвольную точку мира и нашел реальное местонахождение случайного пользователя. По мнению Ахмеда, неосторожные пользователи могут стать жертвами мошенников, преследователей и киберпреступников. К тому же, среди «местных» чатов он нашел такие, по сравнению с которыми известный черный рынок теневого интернета Silkroad — «дилетантский проект».

Функцию «Люди рядом» (People Nearby) добавили в Telegram около полутора лет назад. Она позволяет общаться с пользователями, которые находятся в радиусе нескольких километров. Также в данном разделе можно создать или присоединиться к групповому чату, который привязан к определенной местности. Чтобы пользователя найти в этом разделе, он должен оставить включенной кнопку «Показывать меня здесь». При ее активации приложение предупредит, что данное действие может привлечь нежелательное внимание. Информация профиля, включая фотографии, будет видна окружающим, но телефонный номер останется скрыт.

В рамках подготовки этого материала, автор проверил функционал People Nearby. Выяснилось несколько дополнительных подробностей, на которые не указал Ахмед. Как только пользователь открывает меню «Люди рядом» его никнейм сразу появляется в списке и ему может написать кто угодно. Это происходит даже без активации пункта «Показывать меня здесь». Если раздел закрыть, имя из списка пропадает через несколько секунд. Кроме того, включить постоянное отображение невозможно, когда в настройках профиля доступ к фотографиям разрешен только людям из списка контактов. «Показывать меня здесь» можно отключить в любой момент, главное не забыть об этом.

Иными словами, на полноценную уязвимость в мессенджере описанный Хасаном метод не похож. Когда он сообщил о нем в техническую поддержку Telegram, энтузиасту так и ответили. Получается, пользователи должны сами следить за тем, какие функции в приложении они активируют. Однако даже в провинциальном российском городе с населением в 400 тысяч человек список «Люди рядом» состоит из более чем сотни имен. По ряду косвенных признаков можно судить (например, время последнего захода в приложение), что многие из этих пользователей воспользовались функцией однажды и забыли отключить.

Нашли опечатку? Выделите фрагмент и нажмите Ctrl + Enter.
mostly harmless Есть телега: https://t.me/tempest_exults
Подписывайтесь на нас в Telegram, Яндекс.Новостях и VK
Позавчера, 10:56
ПНИПУ

С наступлением летней жары так и тянет окунуться в прохладную воду реки или озера. И такое решение может быть небезопасным! Эксперты Пермского Политеха рассказали, от чего водоемы становятся мутными и грязными, почему нельзя купаться рядом с утками и мостами, что находят в запрещенных для отдыха местах, какие инфекции можно подхватить и как не заболеть после купания.

Позавчера, 12:53
Юлия Тарасова

Анализ свыше миллиона фрагментов из выступлений в датском парламенте показал, что с приходом в правительство политики начинают изъясняться менее простым и понятным людям языком. Причины тенденции автор исследования увидел в обязанностях, которые накладывает правительственная должность.

Позавчера, 20:07
Юлия Тарасова

Прошлые исследования показали, что татуировки могут быть способом самовыражения и отражать определенные черты личности их обладателей. Но насколько верно судят окружающие о владельцах нательных рисунков, исходя из их внешнего вида? Результаты нового исследования продемонстрировали, что подобные выводы часто бывают ошибочными.

25 июня
ФизТех

Группа российских ученых из Института прикладной математики имени М. В. Келдыша РАН и МФТИ провела детальное численное исследование источников шума, генерируемых крылом прототипа сверхзвукового бизнес-джета в режиме посадки. Эта работа, сочетающая передовые методы вычислительной гидродинамики и аэроакустики, впервые позволила с высокой точностью локализовать и охарактеризовать основные зоны шумообразования вблизи полноразмерной геометрии крыла модели прототипа сверхзвукового пассажирского самолета в посадочной конфигурации.

25 июня
Елена Авдеева

Состояние паралича, в которое впадают разные виды животных, хорошо известно и задокументировано. Обычно оно считается защитной реакцией в случае опасности, но никаких доказательств этому до сих пор нет. Особенно загадочным остается поведение обитателей океана, притворяющихся мертвыми. Ученые проверили существующие объяснения этого эффекта и сделали неожиданные выводы.

25 июня
Evgenia Vavilova

Квантовые спиновые жидкости (КСЖ) обещают ученым развитие в областях квантовых вычислений и передачи энергии без потерь. В них магнитные моменты частиц теоретически не должны упорядочиваться даже при охлаждении до абсолютного нуля температур.

17 июня
Адель Романова

Радиотелескопы уловили очень короткий сигнал, и по его характеристикам стало ясно, что он не может быть естественного происхождения. Астрономы пришли к выводу, что источник находился в околоземном пространстве — там, где уже более полувека летает «мертвый» аппарат NASA.

25 июня
ФизТех

Группа российских ученых из Института прикладной математики имени М. В. Келдыша РАН и МФТИ провела детальное численное исследование источников шума, генерируемых крылом прототипа сверхзвукового бизнес-джета в режиме посадки. Эта работа, сочетающая передовые методы вычислительной гидродинамики и аэроакустики, впервые позволила с высокой точностью локализовать и охарактеризовать основные зоны шумообразования вблизи полноразмерной геометрии крыла модели прототипа сверхзвукового пассажирского самолета в посадочной конфигурации.

5 июня
Александр Березин

Вид антилоп, с ледникового периода привыкший к массовым миграциям, пытается вернуться в свой исторический ареал, когда-то достигавший Днепра. Однако их нетипичные для травоядных привычки вызывают сильнейшее отторжение у сельских жителей, предлагающих массово уничтожать их с воздуха. С экологической точки зрения возвращение этих животных весьма желательно, но как примирить их с фермерами — неясно.

[miniorange_social_login]

Комментарии

8 Комментариев
Anatolii Mr
10.01.2021
-
0
+
В ТГ добавили функцию «Люди рядом» 1,5 года назад, а я еще 12-13 лет назад размышлял почему-бы не сделать такое приложение, которое позволит общаться с пользователями, которые находятся в ближайшем радиусе. Тогда и в помине не было андроидов, были телефоны на java-мидлетах. Не было никаких гугл и яндекс карт! Начали зарождаться... не было еще даже мессенджера google-talk, была лишь аська, да квип. Также не мог понять, зачем нужны логины когда есть номера телефонов, которые можно использовать в их качестве. Разумеется, у меня было и есть куча идей, которые потом воплотились отчасти в разных соцсетях и приложениях. Это говорит о том и подтверждает, что владельца и разрабы этих компаний полные дебилы и недоумки! По выражение их лиц и манере жестикуляции это заметно))Ну, или спецом ведут такой курс в антиутопию... 
-
0
+
Это видимо делалось для цивилизованных стран, для поиска новых знакомств, для облегчения поиска друг друга на незнакомой местности, еще для чего-то, и только у нас все это как опасные для пользователей функции, которыми могут воспользоваться злоумышленники
-
0
+
Этот телеграм батарею ест так, как будто делает расчеты по алгоритму паулинет. Удалил его без сожаления. Вообще эти мессенджеры что-то делают чего хотят. Вацап тянет обновления от скрытых статусов, зачем?
    -
    0
    +
    Скорее всего при перемотке ленты канала или чата, подгружается медиа, которые в свою очередь нагружают сеть и записываются в память. В настройках есть довольно обширные настройки автозагрузки медиа
    +
      ещё комментарии
      Anatolii Mr
      10.01.2021
      -
      0
      +
      при перемотке комментариев в ютьюбе с начала этого года, а также в вк, и даже в лентах дзена, страница виснет. Это связано с внедрением т.н. материального (резинового) дизайна, которые приспособлен больше к мобильным девайсам. К тому же, многие внедряемые фичи работают лишь на новых версиях браузеров. Многие сайты применяют его, поэтому вообще могут не открыться, и выдают глюки. Это позорище, когда сайт не может показать страницу. Похоже разрабы деградируют повсеместно и используют чужие фреймворки для того, чтобы сделать текстовую страничку даже, на котором нет медиаконтента. Впечатление такое, что медиа-контент на старых браузерах работает хуже, чем на старом бажном adobe флеш плеере! Думаю, вообще, в браузерах специально заложены ловушки будущих оптимизаций, чтобы новые функции и фичи, неизвестные, вызывали тормоза и баги. Ведь если бы они просто не работали, но они тормозят и виснут. Также давно известно, не секрет, что производители создают тормоза на уровне железа, чипов, блокируют их производительность или ограничивают, например, чтобы привязывать пользователей к конкретному якобы "оптимизированному" ПО или лицензионным программам. Об этом недавно, может год назад еще писали. А ОС на программном уровне давно тормоза создает и получается, что в новой "винде" какая-то программа работает медленней (не только из-за кривого кода), требуя новое железо (порой необоснованно), или наоборот, нужная "избранная" программа работает лучше.
    Anatolii Mr
    10.01.2021
    -
    0
    +
    молодца, что догадались! Я давно подозревал, что они делают что-то не то... Поедают ресурсы со страшной силой, особенно на старых гаджетах и андроидах. Телега пока там еще запускается, в отличие от вацапа, но всё равно.. Все они хотят права на всё! А тем временем, думаю (предполагаю), что они воруют личные фото и файлы! Может также используют ресурсы смартфонов, чтобы сажать батарею и сподвигать к покупке новых гаджетов, а может даже и подбирают некие пароли... да кто знает. Та же криптовалюта, делает не пойми что на видеокартах. Может они разгадывают архивы Сноудена, не знаю.
    -
    0
    +
    Самый необходимый фич телеграмм это флибуста бот )) Собственно ради него и держу сей мегаполезный и суперпровинутый мессенджер.
Подтвердить?
Подтвердить?
Причина отклонения
Подтвердить?
Не получилось опубликовать!

Вы попытались написать запрещенную фразу или вас забанили за частые нарушения.

Понятно
Жалоба отправлена

Мы обязательно проверим комментарий и
при необходимости примем меры.

Спасибо
Аккаунт заблокирован!

Из-за нарушений правил сайта на ваш аккаунт были наложены ограничения. Если это ошибка, напишите нам.

Понятно
Что-то пошло не так!

Наши фильтры обнаружили в ваших действиях признаки накрутки. Отдохните немного и вернитесь к нам позже.

Понятно
Лучшие материалы
Закрыть
Войти
Регистрируясь, вы соглашаетесь с правилами использования сайта и даете согласие на обработку персональных данных.
Ваша заявка получена

Мы скоро изучим заявку и свяжемся с Вами по указанной почте в случае положительного исхода. Спасибо за интерес к проекту.

Понятно