Telegram附近的人功能存在安全风险,可被用于探测用户位置
近日,有安全研究人员指出,使用著名加密聊天软件Telegram的“附近的人”功能可以暴露用户的确切位置,且该功能长期存在。要知道,Telegram作为一款高度匿名软件,一旦暴露所处位置,可能会当场社会性死亡,目前,启用此功能的人可以看到是十几千米内的其他用户列表,从而可以添加附近的人进行聊天。
而该安全研究员通过伪造自己的Android设备位置,分别定位到三个不同点的距离,然后使用三角定位法来精确定位目标的位置,从而能够使用此方法检索确切的家庭住址。当年国内各种社交APP没有对用户位置距离限定的比较严格的时候曾经被多方使用过这项技术。
详细原理如下:
打开Telegram,点击附近的人,可以选择查看人们离你的所在位置有多远。(此处可伪造)
单击它之后,它将显示附近的人的列表,如下所示:
如图所见,Telegram会告诉每个人离自己有多远。
这里提一下三角定位法,其原理是利用2台或者2台以上的探测器在不同位置探测目标方位,然后运用三角几何原理确定目标的位置和距离。
应用到定位领域可以见下图。
(网图,侵权删除)
因此可以通过伪造自己位置以获得三个点,这三个点以三角分布进行选取,这样每伪造一个位置,就获取一下你想要获取的目标地址现在显示的距离有多远,这里距离作为半径,最后用这些数据绘制三个三角剖分圆。其中伪造手机定位方法有很多种,详细可以搜索伪造定位。
Telegram最多可以获取在7英里(11千里)半径范围内的用户列表。这里研究员发现目标用户住在贝里奇(Bay Ridge),所以把地址欺骗到贝里奇(Bay Ridge)地区。然后收集那个人离自己伪造的点的距离。重复三遍,如下所示:
最后打开Google Earth Pro,搜索位置的纬度和经度,然后使用标尺从每个位置绘制一个带有目标用户目的地的圆。结果如下:
三个圆圈的交点是用户的位置。为了验证这一点,研究员添加了一个用户,并询问他们是否住在附近。
结果显然,该用户确实住在那。
目前,Telegram方面认为这不符合他们的漏洞赏金计划中,并表示如果不使用该功能的时候可以禁用他,所以不打算修复,因此这个方法有可能一直有效。
值得一提的是,该安全研究员在Line应用程序中报告了同样的问题,Line方面给了他1000美元,而解决办法是,他们通过向用户的目的地添加随机数从而使得上述提及的方法不再准确。
此外,目前有人发帖称,他已经在许多主要城市使用Telegrams API运行了一个自动化脚本,已收集数以万计的用户几个月的运动数据,其还希望Telegram不要修复这个功能。
最后,黑鸟看了一下Telegram的APP,发现需要自己点击允许位置权限等才会开启该功能,为了生命安全,建议勿要开启。
参考链接:
https://blog.ahmed.nyc/2021/01/if-you-use-this-feature-on-telegram.html
上期:国家级黑客使用iMessage漏洞攻击记者,无需点击即可触发
没更新的日子都在知识星球更新情报,欢迎订阅