Функция «Люди рядом» позволяет с достаточно высокой точностью, до нескольких десятков метров, определять местоположение пользователя Telegram. Это создает возможности для неправомерных действий со стороны злоумышленников. Чтобы защитить себя, необходимо контролировать использование геолокации в этом мессенджере.
Сообщение о найденной уязвимости опубликовал в своем блоге энтузиаст Ахмед Хасан ( Ahmed Hassan, имя может быть вымышленным. Ранее он уже информировал разработчиков мессенджера о подобной проблеме Line. Ему была выплачена премия в тысячу долларов, а к отображаемому расстоянию между пользователями стали добавлять случайные значения.
Использование этих функций для неправомерных действий сводится к простой триангуляции, которая осуществляется следующим образом. Сначала злоумышленник определяет расстояние до целевого пользователя, отображаемое в приложении. Затем он меняет свое местоположение еще дважды, фиксируя при этом изменения в показанном расстоянии. Для выявления примерного местоположения цели необходимо нанести на карту три круга: центрами этих кругов будут координаты злоумышленника, а радиусами – измеренные расстояния. Целевой пользователь окажется в точке пересечения этих окружностей.
Изменить свое местоположение можно и без необходимости находиться в городе с телефоном в руках. Существует ряд несложных методов, позволяющих изменить данные о геолокации. Необходимые приложения можно найти, например, в Google Play. Для демонстрации упомянутой атаки Хасан выбрал случайное местоположение на планете и определил реальное местонахождение одного из пользователей. По словам Ахмеда, невнимательные пользователи могут стать жертвами мошенничества, преследований и киберпреступлений. Кроме того, в числе «локальных» чатов он обнаружил такие, которые превосходят по масштабам известный черный рынок теневой сети Silkroad — «дилетантский проект».
Функцию «Люди рядом» (People Nearby) добавили в Telegram около полутора лет назад. Она позволяет общаться с пользователями, которые находятся в радиусе нескольких километров. Также в данном разделе можно создать или присоединиться к групповому чату, который привязан к определенной местности. Чтобы пользователя найти в этом разделе, он должен оставить включенной кнопку «Показывать меня здесь». При ее активации приложение предупредит, что данное действие может привлечь нежелательное внимание. Информация профиля, включая фотографии, будет видна окружающим, но телефонный номер останется скрыт.
При подготовке данного материала была проведена проверка функционала People Nearby. В ходе проверки были установлены дополнительные сведения, которые не были упомянуты Ахмедом. Сразу после открытия меню «Люди рядом» никнейм пользователя отображается в списке, и любой может ему написать. Это происходит даже при условии, что функция «Показывать меня здесь» не активирована. После закрытия раздела имя исчезает из списка через несколько секунд. Постоянное отображение имени в списке невозможно, если в настройках профиля доступ к фотографиям ограничен пользователями из списка контактов. Отключение функции «Показывать меня здесь» возможно в любое время, однако важно не забывать об этом.
Иными словами, описанный Хасаном метод не является полноценной уязвимостью в мессенджере. Когда он сообщил о нем в техническую поддержку Telegram, на вопрос интересующегося энтузиаста был дан ответ. Таким образом, ответственность за включение и выключение функций в приложении ложится на самих пользователей. При этом, даже в небольшом российском городе с населением 400 тысяч человек, список «Люди рядом» содержит более сотни имен. По ряду признаков, таких как время последней активности в приложении, можно предположить, что многие пользователи активировали эту функцию один раз и не позаботились об ее деактивации.