В Telegram обнаружена серьёзная уязвимость безопасности

В блоге разработчика Ahmed’s Blog появился интересный пост про обнаруженную им уязвимость. В частности, функция “Люди рядом” (помогает искать пользователей поблизости и знакомиться) позволяет узнать точное местонахождение пользователя даже без специальных навыков или оборудования.

Функция работает на расстоянии до 12 км, так что за несколько минут перебора можно найти человека, зная его город (а лучше район) — что не так сложно вычислить благодаря соцсетям. Далее действовать можно по-разному: либо пройтись самостоятельно и записать данные об удалённости с трёх разных точек, либо использовать приложение, заставляющее смартфон думать, что вы находитесь в другом месте.

Автор пошёл по второму пути. Поочерёдно вбил три набора координат, записал расстояние до нужного пользователя. Затем перенёс эти координаты в Google Earth Pro и обвёл радиусы, полученные из Telegram. Пересечение трёх окружностей выдало ему нужное место. Поскольку автор был знаком с этим пользователем, он уточнил, находится ли он в зоне, определённой с помощью Telegram — и это действительно оказалось так.

Обычно подобные сервисы обеспечивают безопасность пользователей, выдавая не совсем точное расстояние (путём добавления рандомного числа), из-за чего радиусы с трёх точек либо не пересекутся, либо дадут более обширную область. Удивительно, но когда автор связался с представителями Telegram, ему ответили, что не считают такую особенность проблемой.

Трансляцию геолокации можно (и крайне рекомендуется) отключить. Для этого в приложении откройте вкладку “Контакты” → “Найти людей рядом” → “Не показывать меня”. По умолчанию эта функция отключена, но вы могли включить её ради эксперимента и забыть выключить.