电报功能可将您的确切地址暴露给黑客

2021-01-08 18:40:45

如果您使用的是Android设备(或某些情况下为iPhone),则在启用一项功能后,黑客就可以轻松地找到准确的位置,从而使黑客能够轻松地找到您的精确位置,该功能可以让地理位置较近的用户进行连接。研究人员发现了该披露漏洞并将其秘密报告给Telegram开发人员,称他们没有修复此漏洞的计划。

问题源于一个名为“附近的人”的功能。默认情况下,它是关闭的。当用户启用它时,他们的地理距离会显示给其他已打开并且位于(或正在欺骗)同一地理区域的人。按设计使用“附近的人”功能时,它非常有用,几乎没有隐私问题。毕竟,有人在1公里或600米之外的通知仍然使跟踪者猜测您的确切位置。

但是,独立研究人员艾哈迈德·哈桑(Ahmed Hassan)已展示了如何滥用此功能来泄露您的确切位置。使用现成的软件和扎根的Android设备,他可以欺骗其设备向Telegram服务器报告的位置。通过仅使用三个不同的位置并测量“附近的人”报告的相应距离,他就可以查明用户的精确位置。

电报允许用户在地理区域内创建本地组。哈桑说,诈骗者经常欺骗他们的位置,以使此类团体崩溃,然后兜售假的比特币投资,黑客工具,被盗的社会安全号码以及其他骗局。

哈桑在一封电子邮件中写道:“大多数用户都不知道他们在共享自己的位置,也许是他们的家庭住址。” “如果某个女性使用该功能与本地群组聊天,那么她可能会被不需要的用户缠扰。”

研究人员发送给Telegram的概念验证视频显示,当他使用免费的GPS欺骗应用程序使他的电话仅报告三个不同的位置时,他如何辨别“附近的人”用户的地址。然后,他围绕三个位置分别画了一个圆,其半径为Telegram报告的距离。用户的精确位置是所有三个相交的位置。

哈桑要求不要发布该视频。但是,下面的屏幕快照给出了总体思路。

在博客中,Hassan包含了Telegram的电子邮件,以回应他发送给他们的报告。它指出,默认情况下未启用“附近的人”功能,并且“预计在某些情况下可以确定确切位置。”

“附近的人”对使用Android设备的人们构成最大的威胁,因为他们报告用户的位置的粒度足以使Hassan的攻击有效。相比之下,最近发布的iOS 14仅允许用户透露其位置的大致信息。使用此功能的人并没有暴露。

从技术的角度来看,解决问题-或至少使它变得更难利用-并非难事。将位置舍入到最接近的英里并添加一些随机位通常就足够了。当Tinder应用程序具有类似的披露漏洞时,开发人员便使用这种技术对其进行修复。

Telegram的“与周围的人”功能对隐私造成的后果是在提醒人们,开发这些功能的人通常不会以开发人员无法想到的方式滥用这些功能。想要将自己的行踪保密的用户应该对基于位置的服务保持怀疑,并在安装或打开它们之前先进行研究。