Лайфхакер
Лайфхакер
Лучшее
Новости
Жизнь
Рецепты
Здоровье
Кино
Технологии
Покупки
Лучшее
Новости
Жизнь
Рецепты
Здоровье
Кино
Технологии
Покупки
Реши за меня
Добрые новости
Стыдные вопросы
Есть мнение
Норм или стрём
Личный опыт
Объясняем за минуту
Сервисы
НовостиВеб-сервисы
6 января 2021

В Telegram обнаружена серьёзная уязвимость безопасности

Но представители мессенджера проблему не признают.
Фото автора Дарья Громова
Дарья Громова

Автор Лайфхакера

В Telegram обнаружена серьёзная уязвимость безопасности

В блоге разработчика Ahmed’s Blog появился интересный пост про обнаруженную им уязвимость. В частности, функция “Люди рядом” (помогает искать пользователей поблизости и знакомиться) позволяет узнать точное местонахождение пользователя даже без специальных навыков или оборудования.

⭐ Отметьте Лайфхакер галочкой в избранных источниках Google: так вы чаще будете видеть проверенные статьи и поддержите нас.

Функция работает на расстоянии до 12 км, так что за несколько минут перебора можно найти человека, зная его город (а лучше район) — что не так сложно вычислить благодаря соцсетям. Далее действовать можно по-разному: либо пройтись самостоятельно и записать данные об удалённости с трёх разных точек, либо использовать приложение, заставляющее смартфон думать, что вы находитесь в другом месте.

Автор пошёл по второму пути. Поочерёдно вбил три набора координат, записал расстояние до нужного пользователя. Затем перенёс эти координаты в Google Earth Pro и обвёл радиусы, полученные из Telegram. Пересечение трёх окружностей выдало ему нужное место. Поскольку автор был знаком с этим пользователем, он уточнил, находится ли он в зоне, определённой с помощью Telegram — и это действительно оказалось так.

Обычно подобные сервисы обеспечивают безопасность пользователей, выдавая не совсем точное расстояние (путём добавления рандомного числа), из-за чего радиусы с трёх точек либо не пересекутся, либо дадут более обширную область. Удивительно, но когда автор связался с представителями Telegram, ему ответили, что не считают такую особенность проблемой.

Трансляцию геолокации можно (и крайне рекомендуется) отключить. Для этого в приложении откройте вкладку “Контакты” → “Найти людей рядом” → “Не показывать меня”. По умолчанию эта функция отключена, но вы могли включить её ради эксперимента и забыть выключить.

Читайте также
🧐
Безопасные чаты: существуют ли они, зачем нужны и почему это важно
В Telegram теперь можно удалять чужие сообщения так, будто их и не было
10 возможностей Telegram, о которых полезно знать
Обложка: Дарья Громова / Лайфхакер
Если нашли ошибку, выделите текст и нажмите Ctrl + Enter
Это интересно
ТЕСТ: Какой вы путешественник? 

ТЕСТ: Какой вы путешественник? 

4 вещества в организме, дисбаланс которых может помешать сбросить вес

4 вещества в организме, дисбаланс которых может помешать сбросить вес

Безопасные покупки: как Ozon бережёт вас от мошенников

Безопасные покупки: как Ozon бережёт вас от мошенников

Реклама
Построить карьеру просто: 5 классных возможностей для тех, кто начинает свой путь на рынке труда

Построить карьеру просто: 5 классных возможностей для тех, кто начинает свой путь на рынке труда

Комментарии
kamelefata
06.01.21 16:24
А в каком месте тут уязвимость? Пользователь осознано даёт разрешение на то чтобы его видели другие юзеры. Функция как раз и создана для знакомства. Ума не хватает реальную уязвимость найти, вот и публикуют бредятину ради пиара.
OSKr
06.01.21 17:10
Вообще автор по тем статьям что я видел от него реально мало чего понимает в технологиях 🤷‍♂️
Alex Ponomar
06.01.21 22:21
А вот и подтянулись эксперты по авторам.
______
06.01.21 18:48|изменено
Собираю группу по написанию приоллжения для сталкеров :-) Суть - вводишь ники пользователей за которыми хочешь следить.Каждые 5 минут (чтоб далеко не ушли от точки где были изначально засечены) проверяешь их местоположение по схеме в статье , рисуешь следы перемещаения.Если нужно проследить за женой\ребенком\любовницей\жертвой\мужем\бедолагой достаточно чтоб его телефон попал тебе в руки на 10-30 секунд в разблокированном состоянии ( при особой сноровке и 5ти достаточно). Заходишь в телеграм, настройки, разрешаешь показывание себя остальным. Всё, телефон скомпроментирован, жертва не знает, что делится своим местоположением с тобой постоянно. Ещё инициатива - терористически просветительская. Пишем то-же приложение, случайным образом тыкаем в много мест на карте, начинаем слежку за каждым обнаруженным пользователем. Создаём веб сервис на котором красиво рисуем траектории всех людей за которыми сервис стал следить.Так что да, в современном понимании эта фича - уязвимость.
Kara But
06.01.21 19:11|изменено
Если чужой "телефон попал тебе в руки", то можно просто подключить какой-нибудь сервис типа передача геоданных в Гугле, который будет сообщать о местоположении во много раз точнее. Но это не уязвимость, это сервис. Таких "локаторов" полно.
OSKr
06.01.21 19:17
Для этого надо разблокировать телефон. Если оно не заблокирован... Сами себе Буратино. Вот серьёзно, Вы как шаман который управляет погодой 🙄
______
07.01.21 03:15
Вопрос в колличестве времени, которое нужно чтоб это сделать и насколько это явно потом для пользователя. Гугл кричит из всех мест что делиться местоположением с каким-то контактом. Установить какой-то локатор - дело нескольких минут и то тоолько если вы подготовили хорошо почву. В тут я могу взять телефон у девочик полистать фоточки в её инсте или галерее или записать номер, и ей достаточно отвлечься на 5 секунд, чтоб я установил за ней слежку о которой она не узнает потому что сама в жизни не зайдёт в этот раздел телеграмма. Разблокированный телефон на минуты - это сложно да, на 5 секунд - дело примитивной социальной инженерии.
OSKr
07.01.21 12:25
А, теперь разработчики софта должны играть для вас роль мамы и папы вместе с контролирующим органом? Это называется "инфантильность".
Сергей Балашов
06.01.21 21:56
Команде Telegram надо просто добавить фичу "делиться со всеми", "делиться с друзьями" и "делиться с избранными контактами". Ради этого громко кричать о какой-то уязвимости...
Сергей Балашов
06.01.21 21:58
Кстати "Показывать меня здесь" (русский перевод) как-то не принимается многозначительно. Пользователь сам хочет быть в этом списке, включая эту опцию.
______
07.01.21 03:17
Одна из идей это фичи - это обмен контактами если мы находися рядом, чтоб не писать ники, с предложенной фичей не сработает. А вот монобанк более изяшно реализовал это. Ты бершь телефон в руки с активный приложением монобанка и трясёшь его, и он активирует фичу и ты видишь всех тех кто в определённом радиусе его тоже трясёт.
Владимир
07.01.21 13:49
Тревога, у всех смартфонов серьёзная уязвимость, они излучают радиоволны, по которым их можно вычислить, использую специальное оборудование.Очевидно, Ахмед не вкурсе что такое программная уязвимость безопасности.
Что вы могли пропустить
Bigme представила двухсторонний смартфон HiBreak Dual 2 — у него два больших дисплея
Bigme представила двухсторонний смартфон HiBreak Dual 2 — у него два больших дисплея
0
15:10
Новости
Устройства
12 игр, похожих на The Elder Scrolls V: Skyrim
12 игр, похожих на The Elder Scrolls V: Skyrim
0
15:00
Ликбез
Технологии
Большой скандал: Apple обвинила OpenAI в краже технологий будущих продуктов
Большой скандал: Apple обвинила OpenAI в краже технологий будущих продуктов
0
13:40
Новости
Технологии
В «2ГИС» появилась карта бензина, охватывающая почти все заправки в стране
В «2ГИС» появилась карта бензина, охватывающая почти все заправки в стране
0
10:31
Новости
Технологии
Представлен Moodi — пульт для перелистывания страниц на смартфонах, планшетах и читалках
Представлен Moodi — пульт для перелистывания страниц на смартфонах, планшетах и читалках
0
Вчера
Новости
Устройства
Выбираем бюджетный игровой смартфон: 10 лучших моделей
Выбираем бюджетный игровой смартфон: 10 лучших моделей
0
Вчера
Ликбез
Устройства
OpenAI закрывает браузер Atlas — вместо него будет ИИ-агент для всех ChatGPT Work
OpenAI закрывает браузер Atlas — вместо него будет ИИ-агент для всех ChatGPT Work
0
Вчера
Новости
Технологии
6 гаджетов с моего рабочего стола — и на что я бы их заменила
6 гаджетов с моего рабочего стола — и на что я бы их заменила
0
9 июля
Технологии
Технологии
Как вернуть уведомления от VK, MAX и «Авито», если у вас iPhone
Как вернуть уведомления от VK, MAX и «Авито», если у вас iPhone
0
9 июля
iOS
Ликбез
Голубиная почта: вышел мессенджер Roost, в котором сообщения доставляют виртуальные птицы с реальной скоростью
Голубиная почта: вышел мессенджер Roost, в котором сообщения доставляют виртуальные птицы с реальной скоростью
0
9 июля
Новости
Технологии
В «Яндекс Go» и «Яндекс Заправках» теперь можно проверять наличие бензина на АЗС
В «Яндекс Go» и «Яндекс Заправках» теперь можно проверять наличие бензина на АЗС
0
8 июля
Новости
Технологии
Как выбрать пароочиститель для дома и не разочароваться
Как выбрать пароочиститель для дома и не разочароваться
0
8 июля
Ликбез
Устройства
Браузер DuckDuckGo научился блокировать видеорекламу на YouTube и других сайтах
Браузер DuckDuckGo научился блокировать видеорекламу на YouTube и других сайтах
0
8 июля
Браузеры
Новости
Microsoft признала ошибку в Windows 11, которая потребляет до 500 ГБ памяти
Microsoft признала ошибку в Windows 11, которая потребляет до 500 ГБ памяти
0
8 июля
Windows
Новости
Позитивных прогнозов нет: кризис памяти уже меняет рынок недорогих смартфонов
Позитивных прогнозов нет: кризис памяти уже меняет рынок недорогих смартфонов
0
8 июля
Новости
Устройства

Новые комментарии

Аватар автора комментария
Дарья П.41 минуту назад

0 / 0

После таких статей ещё раз убеждаюсь, что лучше не рисковать. В поездки всегда беру Энтерофурил, потому что кишечные инфекции на отдыхе не такая уж редкость.
Вода ошибок не прощает: 7 последствий купания в запрещённых местах
Аватар автора комментария
Виктор Подволоцкий45 минут назад

0 / 0

Лампа светит как раз не на монитор, она подсвечивает рабочую зону под монитором. Нет бликов и лишних теней. Глаза меньше устают если привыкли работать в полумраке или темноте.
6 гаджетов с моего рабочего стола — и на что я бы их заменила
Аватар автора комментария
Dmitry Sizonov58 минут назад

0 / 0

Так себе. Посмотрел ближайшие - в половине случаев "данных нет". Может да, может, нет.
В «2ГИС» появилась карта бензина, охватывающая почти все заправки в стране
Аватар автора комментария
Tanya Iron1 час назад

0 / 0

А вы севооборот применяете?
9 вредителей и болезней томатов, от которых важно избавиться
ТЕСТ: Какой вы путешественник? 

ТЕСТ: Какой вы путешественник? 

Лайфхакер
Информация
О проектеРубрикиРекламаРедакцияВакансииО компании
Подписка
TelegramВКонтактеTwitter (X)PinterestYouTubeИнициалRSS
Правила
Пользовательское соглашениеПолитика обработки персональных данныхПравила применения рекомендательных технологийПравила сообществаСогласие на обработку персональных данныхСогласие для рекламных рассылокСогласие для информационной программы
18+Копирование материалов запрещено.
Издание может получать комиссию от покупки товаров, представленных в публикациях