Уязвимость Telegram позволяет отслеживать местоположение пользователей

Уязвимость Telegram позволяет отслеживать местоположение пользователей

В сети появилась информация о способе, который позволяет определять местоположение пользователей Telegram в режиме реального времени. Избавиться от риска быть обнаруженным можно прямо в мессенджере, если отключить одну из его встроенных функций. 

Telegram

«Люди рядом» — это функция, которая показывает в Telegram других пользователей мессенджера поблизости. Специалист по кибербезопасности и, по информации СМИ, бывший сотрудник Следственного комитета и выпускник вуза Минобороны Иван Глинкин научил Telegram использовать эту функцию для определения местоположения аудитории мессенджера по всему миру.

Метод получил название Close-Circuit Telegram Vision» (CCTV). Его исходный код доступен на GitHub. CCTV наносит на глобальную карту местоположение пользователей мессенджера, у которых включена функция «Люди рядом». По словам Глинкина, она защищена от такого рода злоупотреблений, но защищена недостаточно. Журналисты 404 Media воспользовались инструкцией с GitHub и убедились в этом лично.

Один из них попросил соучредителя портала воспользоваться функцией «Люди рядом» и показать людей, которых она «заметила». Затем, находясь далеко от коллеги, журналист использовал CCTV по его координатам. И в итоге списки совпали. То есть уязвимость заставляет Telegram думать, что пользователь находится там, где он на самом деле не находится, и сканировать любые координаты на наличие людей с включённой функцией «Люди рядом».

Точность определения местоположения составляет 800 метров. По словам Глинкина, CCTV работает на базе API Telegram, который связан с функцией «Люди рядом», и в качестве входных данных принимает широту и долготу. Введённые координаты становятся «местоположением» пользователя (но без подмены GPS), поэтому Telegram на их основе показывает координаты других людей, находящихся недалеко от выбранной точки.

Источник: 404media.co


  • IAndrocom
    Б - Безопасность
    • IAndrocom
      IAndrocom,
      Впрочем, телега уже давно не та
      • albenio
        фсб негодует, закладка раскрыта
        • Modera Tor
          IAndrocom,
          Телега давно скатилась. Сегодня у меня картинки в каналах даже не прогружаются, не говоря уже о видео.
          • RabidRabbi
            Modera Tor,
            думаю, если вы в России, это фишка ркн, попробуйте впн, должно помочь
            • The1Sphinx
              RabidRabbi,
              Да не, это часто везде так работает. Покупка према решает проблему
              Фотки весом в пару Мб грузит секунд 30 (без према), видосы еле-еле грузятся
              Короче всё как всегда)
              • Mr.Palevo
                The1Sphinx,
                С премом плохо работает, особенно бесит когда комментарии не прогружает
            • DounSeid
              Modera Tor,
              Странно. Сам из России, впн не юзаю, грузит всё отлично. Мб дело в операторе?
              • vlad2189
                Modera Tor,
                Ору с тех челиков которые с саплями доказывают что телега защищённая 😂
                • G-Low777
                  vlad2189,
                  Я бы сказал, что любой мало-мальски публичный сервис для общения не гарантирует безопасность (имеет околонулевую безопасность).
                  • vlad2189
                    G-Low777,
                    Ты что, меня тут год назад какахами закидывали, что я ни чего не понимаю 🤣 и что телега это единственный мессенджер со 100% защитой. Что какой хороший Дуров что сделал такой замечательный мессенджер.
                    • G-Low777
                      vlad2189,
                      Наверное ребята не знают про терморектальный криптоанализатор, самый простой и безобидный способ взлома любой системы)
                • BLaCK_GaNJa
                  Modera Tor,
                  Это не телега скатилась. Это Роскомнадзор играется
                • IAndrocom,
                  А кто заставляет обновляться? Пользуюсь 3й версией)
                  • IAndrocom
                    kt342, Внезапно, старые клиенты уже не работают с новыми учётками, не видят сообщения с кастомными смайлами и тд.
                • bober1976
                  IAndrocom,
                  а где вообще подобная функция-то? У меня её нету.. Или это только в официальном клиенте?
                  • bober1976,
                    Только в оф клиенте.
                    • bober1976
                      rpsg,
                      то есть, в ТГ-Х можно и не искать?
                      • igrekmsk
                        rpsg,
                        В Плюсе тоже есть.
                    • Workster
                      bober1976,
                      На телефоне слева 3 точки. И там "Люди рядом"
                    • IAndrocom,
                      >> включаешь показывать свое расположение окружающим
                      >> твое расположение видят окружающие
                      >> ко-ко-ко уязвимость
                      • La Noche Oscura
                        cdtj,
                        Уязвимость тут в том, что он выдает информацию о людях рядом по указанным координатам, согласно статье.
                        • La Noche Oscura,
                          Это геометрическая задача античности, зная расстояние до точки рисуем три окружности радиусом с это расстояние и на пересечении получаем координату
                    • antoxa39
                      Не баг, а фича
                      • max256
                        antoxa39,
                        ну так действительно фича, как должна работать функция "люди рядом" если не транслировать свою геолокацию?
                      • Shuba81
                        А зачем включать Люди рядом? По моему этим практически никто не пользуется. А тот, кто пользуется, хочет, чтобы люди знали, где он. По-моему, всё логично.

                        (отредактирован)

                        • Ramidzyan
                          Shuba81,
                          Да, поэтому отследить кого-то через эту программу это нужно иметь удачу,что искомый чел включит люди рядом и будет светить себя пока прога сужает дистанцию поиска
                          • 241210_crazy
                            Ramidzyan,
                            Вот был зенли, были новости о том что людей таким образом могут Сталкерить. Зенли умер, эта функция появилась в: локаторе на айфонах, в 2гис и ещё десятке форков зенли на обеих системах. Справедливости ради, в телеге она была задолго до зенли.

                            Но что-то все забыли об этой об этой проблеме, возможности засталкерить человека с помощью простого fake GPS и вообще без ведома человека. Со смерти зенли я так больше и не видел подобных новостей. Знаете почему? Анекдот про неуловимого Джо... Пользователей у всех этих финти-флюшек слишком мало.
                            • Tyvalenok
                              241210_crazy,
                              Чел, научи, по братски.
                        • Roseer
                          о как , так и про другие 99% прог стоит написать , что они определяют положение по wifi и gps хотя им это не нужно
                          • SanVin
                            Ой да пусть отслеживают , на моем китайфоне вообще местоположение указывается как Якутия)))
                            • LockMyClock
                              Теперь ясно почему в днре эта функция не работает
                              • (Комментарий удален)

                                • (Комментарий удален)

                                  • (Комментарий удален)

                                • (Комментарий удален)

                              • Danefo
                                Статья "кликбейтный пиар". Где тут уязвимость?!
                                Если юзер повключал всего и вся на своём телефоне/приложении, то можно овердофига таких уязвимостей найти и вообще наблюдать за юзером в прямой трансляции 24/7
                                • The1Sphinx
                                  Danefo,
                                  Такой же кликбейтный пиар,как вчера Пашка устроил, когда начал очередной мессенджер обвинять в не безопасности, но забыл рассказать, что его мессенджер еще хуже в этом плане)
                                  • Danefo
                                    The1Sphinx,
                                    Возможно, но это не ко мне, я не Пашка :)
                                    • skalana
                                      The1Sphinx,
                                      Его мессенджер лучше, тик как есть секретные чаты.
                                      • The1Sphinx
                                        skalana,
                                        секретные чаты аудит которых проводила Group IB?)) Есть у меня некоторые сомнения на качества этого аудита и чатов)
                                        Плюс да, у большинства мессенджеров сейчас сквозное шифрование в любых чатах, а телега "имеет шифрование" только в секретках, а все остальное на серверах, которые безопасны только на словах Пашки)
                                        Так это обычный дырявый ВК, только с внешним видом мессенджера)
                                        • skalana
                                          The1Sphinx,
                                          Другие мессенджеры закрытые,, поэтому наличие сквозного шифрования и отсутствия бэкдоров не доказано. А в телеге код открыт и никто их плохость не доказал.
                                          • The1Sphinx
                                            skalana,
                                            Это немного логическая ошибка. Где телега хранит сообщения юзеров? На своих серверах. Проходил аудит серверов и шифрования данных на серверов? Нет. Открытый код не гарантирует, что к серверам не имеют доступ власти. А уровень хранения данных там на уровне ВК.
                                            Телеграм типа имеет секретные сообщения. Кто проводил аудит? ФСБшная Group IB? Только им дали это сделать. Для меня это не доказательство, а наоборот новое подозрение
                                            Тот же Сигнал тоже имеет открытый исходный код, и его проверяли IACR и не только они. И повторные аудиты уже были. Полностью я бы не доверился, но все уже лучше, чем просто сообщения на серверах с защитой на уровне слов создателя, которого ловили на сливе данных властям в его прошлой соцсети

                                            (отредактирован)

                                            • skalana
                                              The1Sphinx,
                                              секретным чатам пофиг на сервер. Они шифруются на стороне клиента.

                                              А по поводу сигнала - с чего ты взял, что твой клиент на телефоне собран из того же кода, который аудировали?
                                              • The1Sphinx
                                                skalana,
                                                а с чего ты взял это в телеге? С того, что ты сам собрал его? А сигнал ты сам собрать не можешь?)
                                                знаешь в чем сейчас отличие с публичной точки зрения? Одного разраба уже ловили на сливе данных властям, второго нет. Один разраб вечно квакает о том, что все недовольные работники никогда не работали у него (хотя имеется подтверждение работе), что все конкурентные мессенджеры сделаны властями других стран, и что только у него безопасно, только вот пруфов и аудитов НЕТ (аудит фсбшной конторы вообще не считается за аудит, а рассказывать, что сообщения на серваках хранить это безопасно и данные никуда не идут можно только мамонтам)
                                                • skalana
                                                  The1Sphinx,
                                                  в телеге сборка воспроизводимая. То что ты собираешь их куда сам будет идентично тому, что даётся собранное. Если есть желание можно собрать и проверить самому.

                                                  Сигнал отказался от воспроизводимых сборок. Интересно с чего бы это?
                                                • The1Sphinx
                                                  skalana,
                                                  Ты всегда можешь у них это спросить))
                                                  Ты мне не ответил кто проводил нормальный аудит телеги, чтоб говорить, что она безопасна?)
                                                  • Adlucky
                                                    The1Sphinx,
                                                    Общественность не проводила аудит твоей гетеросексуальности, что не делает тебя из другого лагеря. Ты либо факты предлагай, либо не строй теории от обратного. Фактов "хужести" 0.
                                                    2. Надо быть неразумным человеком, чтоб в интернете транслировать критически важную информацию. Хоть в телеграме, хоть ВК.
                                                    Наконец, 3. ТГ просто удобный мессенджер. Кого не устраивает, может вайбером, icq или imo пользоваться, например.
                                                    Напоследок, 4. 4 пда давно скатился в желтуху. Заголовок на веру для дегенератов. Как можно спалить месторождение того, кто целенаправленно пользуется этой функцией с целью того, чтоб его нашли или он кого-то нашел?
                                      • Себастьян Йорд
                                        Danefo,
                                        Уязвимость здесь в том, что эта функция должна показывать местоположение пользователя его друзьям, в пределах здания, а не ФСБшникам, в пределах всего мира.
                                        • Шмыг
                                          Себастьян Йорд,
                                          Вы путаете глобальную функцию People Nearby с функцией Share My Live Location внутри чата. Последняя - да, показывает ваше точное местоположение только другу или членам группы.
                                          А вот People Nearby светит вас с точностью +/- 500 метров всем вокруг. И при поиске тоже показывает совершенно невообразимое количество левого народу и групп.
                                          Достаточно лишь было прочитать её описание, а не рассказывать про то, что кому и кто должен.
                                      • grusha2014
                                        А что нового? API этой фичи для парсинга уже несколько лет используют и об этом и так давно известно
                                        • Megaherz09
                                          С праздником!
                                          • god_level
                                            А вам товарищ майор разрешил такую публикацию?
                                            • Amirh92
                                              Ахахах, что за бред.
                                              Это же фича видеть рядом людей, а не уязвимость.
                                              • помойка одним словом
                                                • neosistema
                                                  Ты сам указываешь чтоб тебя видели там рядом как в знакомствах, не понял в чем тут взлом или уязвимость

                                                  (отредактирован)

                                                  • anttiandrey
                                                    neosistema,
                                                    рядом - там обычно просто пишет дистанцию в км. А тут можно увидеть точку прямо на карте.
                                                    • Шмыг
                                                      anttiandrey,
                                                      В статье ж прямым текстом сказано: "Точность определения местоположения составляет 800 метров"
                                                      • anttiandrey
                                                        Шмыг,
                                                        да не буду я статью читать, я сюда пришел написать комментарий
                                                  • mrTAG
                                                    Как я понимаю работает через гуглкарты.
                                                    Ибо на Huawei X3 без гугла, нет данной опции.
                                                    • god_level
                                                      mrTAG,
                                                      Просто на хуавей она не отключается.
                                                    • Еще один создатель "BolgenOS". Понятно почему он "бывший сотрудник Следственного комитета" )
                                                      • hynix26
                                                        GPS у меня всегда отключен.Так что пофиг 😄
                                                        • Leoponchik
                                                          hynix26,
                                                          Достаточно точно определяется по wifi, так что вай фай тоже всегда держи отключенным.

                                                          И ещё желательно без симки пользоваться телефоном)
                                                        • Sleepwalker.
                                                          Телега превращается в днище, видеозвонки, уже пару месяцев глючат, невозможно говорить, тот же вацап работает нормально, тупо новости и все
                                                          • Razzen
                                                            Даже не знал, что есть такая функция :)
                                                            • iPear
                                                              Но в этом и есть смысл этой функции, транслировать своё местоположение всем. Предвижу следующую новость - "раскрыта новая уязвимость телеграм, она позволяет вашим собеседникам читать то, что вы им написали!"
                                                              • Abduldag
                                                                Кто вообще верит этой фсбшной конторе? Чисто захожу следить за новостями и все
                                                                • Alex0066
                                                                  Это не уязвимость, а одна из функций о которой знал создатель, а теперь её обнаружили пользователи )
                                                                  • windes
                                                                    Наконец то тема сисек раскрыта! ))
                                                                    • nongrataaa
                                                                      Вот это уязвимость, давно использую на андройд приложения для подмены GPS и получается всё тоже самое. Могу смотреть людей рядом в другой части города. Так собственно в этом и заключается работа функция люди рядом, не??

                                                                      (отредактирован)

                                                                      • Stalkermaaan
                                                                        А если пользователь скрин из гугл карт со своим местоположением кому нибудь кинет, это тоже будет считаться уязвимостью? 🤡

                                                                        Компания объявила о выпуске «премиальной» версии фирменного браузера, распространяемой по модели платной подписки. Она ориентирована на корпоративное использование, и отличается от базовой сборки с приставкой Enterprise расширенным набором функций. В блоге Google появилось подробное описание приложения и данные о новом тарифе.

                                                                         
                                                                        <div></div><div></div><a href='/2024/06/16/7307307/' target='_blank'><img src='https://i.4pda.ws/s/as6ywue3S4wsjFGg0z2I2iyY7kHEE0EmiXkPLY783uK3Miqm98HafRECC.jpg' title='' /></a><div ><img src='https://4pda.to/s/as6yu42hlyXjD7kQLqbvVMOGid.gif' /></div><div></div><div></div><div></div>

                                                                        Компания Natron Energy запатентовала технологию работы аккумуляторов, основанных на электронах и пригодных для быстрой и частой передачи ионов натрия. Новый метод позволит десятикратно увеличить скорости работы аккумуляторов и повысить их ресурс до 50 000 циклов.

                                                                         

                                                                        Нидерландская компания Yandex N.V. объявила о продаже бизнеса «Яндекса» консорциуму частных инвесторов. Представители компании рассказали об ожидаемых следствиях реструктуризации и сообщили, кто станет её новым владельцем.

                                                                         

                                                                        Авторы портала Hardware Unboxed решили проверить значимость количества видеопамяти в современных играх. И для этого они поочерёдно запускали игры на видеокарте AMD Radeon RX 6500 XT в версиях на 4 и 8 ГБ.

                                                                         

                                                                        Стартап из Калифорнии Aeromine Technologies разработал новый ветрогенератор, который можно устанавливать на крыши коттеджей, таунхаусов и обычных многоэтажных домов. По заявлениям производителя, он собирает на 50% больше энергии, чем солнечные панели, при тех же денежных затратах.

                                                                         

                                                                        Компания Hysata намерена «подарить» миру самый дешёвый в мире водород, что стало возможным благодаря новой установке для расщепления воды на H2 и O2 с эффективностью в 95%. Это на 20% выше в сравнении с традиционными установками, использующими электролиз.

                                                                         

                                                                        Сотрудники университета Киото продолжают работать над первым в мире лекарством для выращивания зубов. Средство уже успешно протестировали на животных, а теперь исследователи активно готовятся к началу его клинических испытаний, которые стартуют в сентябре текущего года.

                                                                         

                                                                        Спустя всего пару дней после поручения президента РФ по созданию отечественной консоли стали известны её характеристики. Железо новинки вызывает вопросы такого масштаба, что новость уважаемого издания «Известия» впору считать за утку.

                                                                         
                                                                        Названы устройства Xiaomi, Redmi и POCO, которые обновятся до Android 15 Популярное

                                                                        На официальном сайте Xiaomi появились списки смартфонов брендов Xiaomi, Redmi и POCO, которые гарантированно получат обновление до Android 15. На новую версию ОС перейдут устройства с оболочкой MIUI 16, а также многие модели, которые работают под управлением HyperOS.

                                                                         

                                                                        Рис — это основа питания 60–70% населения Земли. Главный недостаток этой культуры заключается в том, что в ней мало витамина B1. Это нарушает обмен веществ и может стать причиной почечной недостаточности. Чтобы решить эту проблему, биологи попытались разработать рис с повышенным содержанием B1. И, судя по первому урожаю, это сработало.

                                                                         
                                                                        Новая версия Google Play замедлила смартфоны Samsung. Как это исправить? Популярное

                                                                        После майского обновления клиента Google Play пользователи смартфонов Samsung начали сообщать, что их смартфоны стали работать медленнее. Вскоре компания признала проблему на своём официальном форуме и рассказала, как её исправить без каких-либо манипуляций с прошивкой.

                                                                         

                                                                        Компания «Яндекс» пополнила серию умных колонок «Станция» моделью «Миди». В актуальной линейке уже пять устройств, но всё так запутанно, что из них нельзя выделить очевидного флагмана. Собрали все особенности «Станций» и разбираемся, какую колонку выбрать.

                                                                         

                                                                        На Reddit развернулось активное обсуждение крайне странной работы нейросети Stable Diffusion 3 Medium после очередного апдейта. Пользователи размещают в сети изображения, созданные ИИ — почти все люди на них показаны с ужасающими «мутациями». Виной всему, как утверждают завсегдатаи интернета, — жёсткая цензура контента для взрослых.

                                                                         

                                                                        В сети появились рендеры ещё не представленного автомобиля Lada Iskra, которые были найдены в базе патентов Федерального института промышленной собственности. Судя по изображениям, новинка во многом будет похожа на Lada Vesta.

                                                                         

                                                                        В конце марта Google удалила приложение Mir Pay из каталога Google Play. Причина — американские санкции в отношении АО «Национальная система платёжных карт» (НСПК), которая обслуживает карты «Мир». В Mir Pay нет автоматического обновления, так что устанавливать апдейты придётся самостоятельно.

                                                                         

                                                                        Разработчики альтернативного файлового менеджера Files выпустили новую версию приложения с рядом полезных функций и доработок. Они поделились списком изменений и опубликовали ссылки на бесплатное скачивание оригинальной замены стандартного «Проводника».

                                                                         

                                                                        Портал TechSpot проанализировал цены на твердотельные накопители (SSD) за прошедший год. Как оказалось, в 2023-м был самый выгодный момент для апгрейда компьютера, поскольку затем ценник начал постепенно расти. И такая тенденция наблюдается среди моделей разного объёма. 

                                                                         

                                                                        Кикшеринговая компания Whoosh интегрировала в свои электросамокаты фирменную технологию «Антитандем», призванную выявлять одновременное использование транспортного средства несколькими людьми. После теста в Санкт-Петербурге нововведение заработало во всех городах России, Беларуси и Казахстане, где представлен сервис.

                                                                         
                                                                        Первый взгляд на realme GT6: мощный, быстрый и красивый. Убийца флагманов? Популярное
                                                                        73
                                                                        15.06.24News

                                                                        На мировой рынок выходит realme GT6 — аппарат с тройной камерой, продвинутым железом, AI-функциями, быстрой зарядкой и самым ярким в мире AMOLED-экраном с разрешением 1,5K. Характеристики новинки выглядят интригующе, поэтому мы поспешили раздобыть её для продолжительного знакомства. Делимся первыми впечатлениями перед детальным обзором.

                                                                         
                                                                        Экс-сотрудник OpenAI: ИИ погубит человечество с вероятностью 70%  Популярное

                                                                        Термин p(doom) обозначает вероятность того, что искусственный интеллект приведёт человечество к гибели. Дискуссии подобного формата стали предметом постоянных разногласий среди специалистов в сфере машинного обучения. Бывший сотрудник OpenAI Дэниэль Кокотайло прогнозирует, что с вероятностью 70% ИИ может привести к краху человечества.

                                                                         

                                                                        Люди стали реже менять смартфоны — это подтверждает статистика в разных странах мира, в том числе и в России. На это влияет множество факторов: минимальное различие между поколениями, повышение цен и увеличение срока поддержки даже для моделей среднего и начального уровней. А раз всё хорошо работает и получает обновление, то зачем что-то менять? Но есть и пользователи, которые меняют смартфоны каждый год или даже чаще. Зачастую это те, кто хочет постоянно пользоваться самыми передовыми технологиями или продавать старый аппарат по максимальной цене. А какой подход практикуете вы? Расскажите, сколько лет вашему нынешнему смартфону и когда вы планируете его обновлять?

                                                                         
                                                                        «Снимать с зумом хочется даже чаще, чем на основную камеру». Тестируем Honor Magic6 Pro
                                                                        60
                                                                        3.05.24News

                                                                        Редакция досконально изучила флагманский Honor Magic6 Pro. Настало время пользователей проверить аппарат в разных условиях. Приглашённый эксперт и по совместительству постоянный читатель 4PDA делится своими впечатлениями от смартфона.

                                                                         
                                                                        Больше не Eternal. DOOM: The Dark Ages вернётся к олдскульной традиции Популярное

                                                                        В конце прошлой недели id Software явила миру DOOM: The Dark Ages — приквел DOOM (2016) и DOOM Eternal. Фанаты восторженно приняли анонс и принялись гадать, каким образом разработчики превзойдут экшен-механики Eternal. Автор проекта решил объяснить своё видение.

                                                                         

                                                                        Готовящийся к выпуску смартфон POCO F6 Pro прошёл сертификацию у регулятора NBTC. «Покопавшись» в базе данных, инсайдеры раскрыли все его технические характеристики. Сделать это было несложно — гаджет оказался копией уже представленного ранее устройства бренда Redmi.

                                                                         

                                                                        Группа хакеров опубликовала документ, в котором говорится, что им удалось использовать чат-бота на базе языковой модели GPT-4 для автономного взлома уязвимостей нулевого дня. Другими словами, софт ищет недавно найденные «дыры» в безопасности. По итогам эксперимента GPT-4 смог самостоятельно использовать 87% критических уязвимостей.