Телеграм це не месенджер, а соціальна мережа. Однією з його соціальних функцій є рекомендація “подружитися” користувачам, які знаходяться поруч. За допомогою цієї фічі неважко визначити місцерозташування Telegram-юзера. Я рекомендую вимкнути доступ Телеги до геолокації на рівні ОС смартфона.
Вразлива функція називається People Nearby, вона дозволяє користувачам Telegram знаходити один одного в реальному світі. На двох смартфонах робляться два незалежні запити на дані геолокації, результати відправляються на сервер. Якщо користувачі знаходяться на короткій відстані, їм пропонують додати один одного до контактів.
Зловмисник може використати додаток, що підміняє дані геолокації смартфона довільними фейковими координатами. Для цього досить встановити таку апку на рутований Android. Тут немає нічого складного, якщо ви зрозуміли попереднє речення, то вам буде неважко це зробити. Користуючись спуфером геолокації, хакер може послідовно “розмістити” свій смартфон в трьох точках та виміряти відстань до смартфона жертви. По цих трьох вимірах можна триангулювати геопозицію цілі. Схожим чином мобільні оператори визначають наше розташування, вимірюючи на наших мобілках силу сигналу трьох найближчих базових станцій.
На пристроях під управлінням iOS можна надати Телеграму доступ до “приблизних” координат і це суттєво зменшить ризики. В користувачів Android такої можливості немає, адже Google сам не проти послідкувати за своїми юзерами. Telegram відповів досліднику, який відзвітував про цю вразливість, що компанія не вважає це загрозою безпеки.
Найкумедніше в цій історії те, що фіча, яка наражає користувача на небезпеку сталкінгу, вимкнена за замовчуванням. Як і наскрізне шифрування Телеграм-чатів.