Злоумышленники могут определить местоположение пользователей Telegram
Злоумышленники могут определить местоположение пользователей Telegram с помощью функции «Люди рядом». Об этом пишет Ars Technica.
Что случилось
В Telegram есть функция «Люди рядом». Она позволяет найти пользователей, которые находятся поблизости, а также создавать локальные группы. Функция не работает автоматически — ее надо включить. При запуске можно нажать на пункт «Показывать меня здесь», чтобы разрешить другим пользователям просматривать профиль и писать сообщения. Они не смогут видеть номер телефона.
Исследователь Ахмед Хасcан обнаружил уязвимость в этой функции. Он утверждает, что с ее помощью злоумышленники могут точно определить местоположение других людей. Например, для этого им достаточно измерить расстояние до пользователя из трех разных точек. Затем можно нанести на карту три круга с центром в их координатах и радиусом равным расстоянию. Пользователь находится примерно в точке пересечения.
Что будет дальше
Устранить уязвимость несложно. Достаточно округлить расстояние до километра (без точных данных в метрах) и добавить к показателю случайные числа.
В команде Telegram Хассану ответили, что этот случай не покрывается баг-баунти программой мессенджера. Функция, позволяющая делиться местоположением, выключена по умолчанию. Также эта уязвимость появляется только при определенных условиях.
Возможно, Хасcан действительно преувеличивает опасность. Пользователи всегда могут выключить «Показывать меня здесь». Просто об этом нельзя забывать.