Уязвимость Telegram позволяет отслеживать местоположение пользователей

Уязвимость Telegram позволяет отслеживать местоположение пользователей

В сети появилась информация о способе, который позволяет определять местоположение пользователей Telegram в режиме реального времени. Избавиться от риска быть обнаруженным можно прямо в мессенджере, если отключить одну из его встроенных функций. 

Telegram

«Люди рядом» — это функция, которая показывает в Telegram других пользователей мессенджера поблизости. Специалист по кибербезопасности и, по информации СМИ, бывший сотрудник Следственного комитета и выпускник вуза Минобороны Иван Глинкин научил Telegram использовать эту функцию для определения местоположения аудитории мессенджера по всему миру.

Метод получил название Close-Circuit Telegram Vision» (CCTV). Его исходный код доступен на GitHub. CCTV наносит на глобальную карту местоположение пользователей мессенджера, у которых включена функция «Люди рядом». По словам Глинкина, она защищена от такого рода злоупотреблений, но защищена недостаточно. Журналисты 404 Media воспользовались инструкцией с GitHub и убедились в этом лично.

Один из них попросил соучредителя портала воспользоваться функцией «Люди рядом» и показать людей, которых она «заметила». Затем, находясь далеко от коллеги, журналист использовал CCTV по его координатам. И в итоге списки совпали. То есть уязвимость заставляет Telegram думать, что пользователь находится там, где он на самом деле не находится, и сканировать любые координаты на наличие людей с включённой функцией «Люди рядом».

Точность определения местоположения составляет 800 метров. По словам Глинкина, CCTV работает на базе API Telegram, который связан с функцией «Люди рядом», и в качестве входных данных принимает широту и долготу. Введённые координаты становятся «местоположением» пользователя (но без подмены GPS), поэтому Telegram на их основе показывает координаты других людей, находящихся недалеко от выбранной точки.

Источник: 404media.co


  • IAndrocom
    Б - Безопасность
    • IAndrocom
      IAndrocom,
      Впрочем, телега уже давно не та
      • albenio
        фсб негодует, закладка раскрыта
        • Modera Tor
          IAndrocom,
          Телега давно скатилась. Сегодня у меня картинки в каналах даже не прогружаются, не говоря уже о видео.
          • RabidRabbi
            Modera Tor,
            думаю, если вы в России, это фишка ркн, попробуйте впн, должно помочь
            • The1Sphinx
              RabidRabbi,
              Да не, это часто везде так работает. Покупка према решает проблему
              Фотки весом в пару Мб грузит секунд 30 (без према), видосы еле-еле грузятся
              Короче всё как всегда)
              • Mr.Palevo
                The1Sphinx,
                С премом плохо работает, особенно бесит когда комментарии не прогружает
            • DounSeid
              Modera Tor,
              Странно. Сам из России, впн не юзаю, грузит всё отлично. Мб дело в операторе?
              • vlad2189
                Modera Tor,
                Ору с тех челиков которые с саплями доказывают что телега защищённая 😂
                • G-Low777
                  vlad2189,
                  Я бы сказал, что любой мало-мальски публичный сервис для общения не гарантирует безопасность (имеет околонулевую безопасность).
                  • vlad2189
                    G-Low777,
                    Ты что, меня тут год назад какахами закидывали, что я ни чего не понимаю 🤣 и что телега это единственный мессенджер со 100% защитой. Что какой хороший Дуров что сделал такой замечательный мессенджер.
                    • G-Low777
                      vlad2189,
                      Наверное ребята не знают про терморектальный криптоанализатор, самый простой и безобидный способ взлома любой системы)
                • BLaCK_GaNJa
                  Modera Tor,
                  Это не телега скатилась. Это Роскомнадзор играется
                • IAndrocom,
                  А кто заставляет обновляться? Пользуюсь 3й версией)
                  • IAndrocom
                    kt342, Внезапно, старые клиенты уже не работают с новыми учётками, не видят сообщения с кастомными смайлами и тд.
                • bober1976
                  IAndrocom,
                  а где вообще подобная функция-то? У меня её нету.. Или это только в официальном клиенте?
                  • bober1976,
                    Только в оф клиенте.
                    • bober1976
                      rpsg,
                      то есть, в ТГ-Х можно и не искать?
                      • igrekmsk
                        rpsg,
                        В Плюсе тоже есть.
                    • Workster
                      bober1976,
                      На телефоне слева 3 точки. И там "Люди рядом"
                    • IAndrocom,
                      >> включаешь показывать свое расположение окружающим
                      >> твое расположение видят окружающие
                      >> ко-ко-ко уязвимость
                      • La Noche Oscura
                        cdtj,
                        Уязвимость тут в том, что он выдает информацию о людях рядом по указанным координатам, согласно статье.
                        • La Noche Oscura,
                          Это геометрическая задача античности, зная расстояние до точки рисуем три окружности радиусом с это расстояние и на пересечении получаем координату
                    • antoxa39
                      Не баг, а фича
                      • max256
                        antoxa39,
                        ну так действительно фича, как должна работать функция "люди рядом" если не транслировать свою геолокацию?
                      • Shuba81
                        А зачем включать Люди рядом? По моему этим практически никто не пользуется. А тот, кто пользуется, хочет, чтобы люди знали, где он. По-моему, всё логично.

                        (отредактирован)

                        • Ramidzyan
                          Shuba81,
                          Да, поэтому отследить кого-то через эту программу это нужно иметь удачу,что искомый чел включит люди рядом и будет светить себя пока прога сужает дистанцию поиска
                          • 241210_crazy
                            Ramidzyan,
                            Вот был зенли, были новости о том что людей таким образом могут Сталкерить. Зенли умер, эта функция появилась в: локаторе на айфонах, в 2гис и ещё десятке форков зенли на обеих системах. Справедливости ради, в телеге она была задолго до зенли.

                            Но что-то все забыли об этой об этой проблеме, возможности засталкерить человека с помощью простого fake GPS и вообще без ведома человека. Со смерти зенли я так больше и не видел подобных новостей. Знаете почему? Анекдот про неуловимого Джо... Пользователей у всех этих финти-флюшек слишком мало.
                            • Tyvalenok
                              241210_crazy,
                              Чел, научи, по братски.
                        • Roseer
                          о как , так и про другие 99% прог стоит написать , что они определяют положение по wifi и gps хотя им это не нужно
                          • SanVin
                            Ой да пусть отслеживают , на моем китайфоне вообще местоположение указывается как Якутия)))
                            • LockMyClock
                              Теперь ясно почему в днре эта функция не работает
                              • (Комментарий удален)

                                • (Комментарий удален)

                                  • (Комментарий удален)

                                • (Комментарий удален)

                              • Danefo
                                Статья "кликбейтный пиар". Где тут уязвимость?!
                                Если юзер повключал всего и вся на своём телефоне/приложении, то можно овердофига таких уязвимостей найти и вообще наблюдать за юзером в прямой трансляции 24/7
                                • The1Sphinx
                                  Danefo,
                                  Такой же кликбейтный пиар,как вчера Пашка устроил, когда начал очередной мессенджер обвинять в не безопасности, но забыл рассказать, что его мессенджер еще хуже в этом плане)
                                  • Danefo
                                    The1Sphinx,
                                    Возможно, но это не ко мне, я не Пашка :)
                                    • skalana
                                      The1Sphinx,
                                      Его мессенджер лучше, тик как есть секретные чаты.
                                      • The1Sphinx
                                        skalana,
                                        секретные чаты аудит которых проводила Group IB?)) Есть у меня некоторые сомнения на качества этого аудита и чатов)
                                        Плюс да, у большинства мессенджеров сейчас сквозное шифрование в любых чатах, а телега "имеет шифрование" только в секретках, а все остальное на серверах, которые безопасны только на словах Пашки)
                                        Так это обычный дырявый ВК, только с внешним видом мессенджера)
                                        • skalana
                                          The1Sphinx,
                                          Другие мессенджеры закрытые,, поэтому наличие сквозного шифрования и отсутствия бэкдоров не доказано. А в телеге код открыт и никто их плохость не доказал.
                                          • The1Sphinx
                                            skalana,
                                            Это немного логическая ошибка. Где телега хранит сообщения юзеров? На своих серверах. Проходил аудит серверов и шифрования данных на серверов? Нет. Открытый код не гарантирует, что к серверам не имеют доступ власти. А уровень хранения данных там на уровне ВК.
                                            Телеграм типа имеет секретные сообщения. Кто проводил аудит? ФСБшная Group IB? Только им дали это сделать. Для меня это не доказательство, а наоборот новое подозрение
                                            Тот же Сигнал тоже имеет открытый исходный код, и его проверяли IACR и не только они. И повторные аудиты уже были. Полностью я бы не доверился, но все уже лучше, чем просто сообщения на серверах с защитой на уровне слов создателя, которого ловили на сливе данных властям в его прошлой соцсети

                                            (отредактирован)

                                            • skalana
                                              The1Sphinx,
                                              секретным чатам пофиг на сервер. Они шифруются на стороне клиента.

                                              А по поводу сигнала - с чего ты взял, что твой клиент на телефоне собран из того же кода, который аудировали?
                                              • The1Sphinx
                                                skalana,
                                                а с чего ты взял это в телеге? С того, что ты сам собрал его? А сигнал ты сам собрать не можешь?)
                                                знаешь в чем сейчас отличие с публичной точки зрения? Одного разраба уже ловили на сливе данных властям, второго нет. Один разраб вечно квакает о том, что все недовольные работники никогда не работали у него (хотя имеется подтверждение работе), что все конкурентные мессенджеры сделаны властями других стран, и что только у него безопасно, только вот пруфов и аудитов НЕТ (аудит фсбшной конторы вообще не считается за аудит, а рассказывать, что сообщения на серваках хранить это безопасно и данные никуда не идут можно только мамонтам)
                                                • skalana
                                                  The1Sphinx,
                                                  в телеге сборка воспроизводимая. То что ты собираешь их куда сам будет идентично тому, что даётся собранное. Если есть желание можно собрать и проверить самому.

                                                  Сигнал отказался от воспроизводимых сборок. Интересно с чего бы это?
                                                • The1Sphinx
                                                  skalana,
                                                  Ты всегда можешь у них это спросить))
                                                  Ты мне не ответил кто проводил нормальный аудит телеги, чтоб говорить, что она безопасна?)
                                                  • Adlucky
                                                    The1Sphinx,
                                                    Общественность не проводила аудит твоей гетеросексуальности, что не делает тебя из другого лагеря. Ты либо факты предлагай, либо не строй теории от обратного. Фактов "хужести" 0.
                                                    2. Надо быть неразумным человеком, чтоб в интернете транслировать критически важную информацию. Хоть в телеграме, хоть ВК.
                                                    Наконец, 3. ТГ просто удобный мессенджер. Кого не устраивает, может вайбером, icq или imo пользоваться, например.
                                                    Напоследок, 4. 4 пда давно скатился в желтуху. Заголовок на веру для дегенератов. Как можно спалить месторождение того, кто целенаправленно пользуется этой функцией с целью того, чтоб его нашли или он кого-то нашел?
                                      • Себастьян Йорд
                                        Danefo,
                                        Уязвимость здесь в том, что эта функция должна показывать местоположение пользователя его друзьям, в пределах здания, а не ФСБшникам, в пределах всего мира.
                                        • Шмыг
                                          Себастьян Йорд,
                                          Вы путаете глобальную функцию People Nearby с функцией Share My Live Location внутри чата. Последняя - да, показывает ваше точное местоположение только другу или членам группы.
                                          А вот People Nearby светит вас с точностью +/- 500 метров всем вокруг. И при поиске тоже показывает совершенно невообразимое количество левого народу и групп.
                                          Достаточно лишь было прочитать её описание, а не рассказывать про то, что кому и кто должен.
                                      • grusha2014
                                        А что нового? API этой фичи для парсинга уже несколько лет используют и об этом и так давно известно
                                        • Megaherz09
                                          С праздником!
                                          • god_level
                                            А вам товарищ майор разрешил такую публикацию?
                                            • Amirh92
                                              Ахахах, что за бред.
                                              Это же фича видеть рядом людей, а не уязвимость.
                                              • помойка одним словом
                                                • neosistema
                                                  Ты сам указываешь чтоб тебя видели там рядом как в знакомствах, не понял в чем тут взлом или уязвимость

                                                  (отредактирован)

                                                  • anttiandrey
                                                    neosistema,
                                                    рядом - там обычно просто пишет дистанцию в км. А тут можно увидеть точку прямо на карте.
                                                    • Шмыг
                                                      anttiandrey,
                                                      В статье ж прямым текстом сказано: "Точность определения местоположения составляет 800 метров"
                                                      • anttiandrey
                                                        Шмыг,
                                                        да не буду я статью читать, я сюда пришел написать комментарий
                                                  • mrTAG
                                                    Как я понимаю работает через гуглкарты.
                                                    Ибо на Huawei X3 без гугла, нет данной опции.
                                                    • god_level
                                                      mrTAG,
                                                      Просто на хуавей она не отключается.
                                                    • Еще один создатель "BolgenOS". Понятно почему он "бывший сотрудник Следственного комитета" )
                                                      • hynix26
                                                        GPS у меня всегда отключен.Так что пофиг 😄
                                                        • Leoponchik
                                                          hynix26,
                                                          Достаточно точно определяется по wifi, так что вай фай тоже всегда держи отключенным.

                                                          И ещё желательно без симки пользоваться телефоном)
                                                        • Sleepwalker.
                                                          Телега превращается в днище, видеозвонки, уже пару месяцев глючат, невозможно говорить, тот же вацап работает нормально, тупо новости и все
                                                          • Razzen
                                                            Даже не знал, что есть такая функция :)
                                                            • iPear
                                                              Но в этом и есть смысл этой функции, транслировать своё местоположение всем. Предвижу следующую новость - "раскрыта новая уязвимость телеграм, она позволяет вашим собеседникам читать то, что вы им написали!"
                                                              • Abduldag
                                                                Кто вообще верит этой фсбшной конторе? Чисто захожу следить за новостями и все
                                                                • Alex0066
                                                                  Это не уязвимость, а одна из функций о которой знал создатель, а теперь её обнаружили пользователи )
                                                                  • windes
                                                                    Наконец то тема сисек раскрыта! ))
                                                                    • nongrataaa
                                                                      Вот это уязвимость, давно использую на андройд приложения для подмены GPS и получается всё тоже самое. Могу смотреть людей рядом в другой части города. Так собственно в этом и заключается работа функция люди рядом, не??

                                                                      (отредактирован)

                                                                      • Stalkermaaan
                                                                        А если пользователь скрин из гугл карт со своим местоположением кому нибудь кинет, это тоже будет считаться уязвимостью? 🤡

                                                                        Windows 11 уже умеет распаковывать несколько типов архивов, но не создавать их. Вскоре, по данным инсайдеров, ситуация изменится: операционная система получит нативную поддержку сразу двух популярных форматов, сделав многие классические архиваторы ненужными.

                                                                         
                                                                        <div></div><div></div><a href='/2024/06/14/2852862/' target='_blank'><img src='https://i.4pda.ws/s/as6ywue3S4wsjFGg0z2I2iyY7kHEE0EmiXkPLY783uK3Miqm98HafRECC.jpg' title='' /></a><div ><img src='https://4pda.to/s/as6yu42hlyXjD7kQLqbvVMOGid.gif' /></div><div></div>

                                                                        Разработчики альтернативного файлового менеджера Files выпустили новую версию приложения с рядом полезных функций и доработок. Они поделились списком изменений и опубликовали ссылки на бесплатное скачивание оригинальной замены стандартного «Проводника».

                                                                         

                                                                        Правительство утвердило полосу радиочастот 4400–4990 МГц для развития 5G. Это не самый популярный диапазон: почти во всём мире для 5G используют 3400–3800 МГц. Вот почему заметная часть смартфонов не сможет работать в российских сетях пятого поколения.

                                                                         

                                                                        Пока FromSoftware дразнит геймеров трейлерами дополнения для Elden Ring, истинные фанаты и стримеры вовсю тренируются, чтобы быть готовыми к новым испытаниям. Одна стримерша, например, как раз завершила ультимативный челлендж.

                                                                         

                                                                        Лишь недавно состоялся запуск линейки Galaxy S24, а в сети уже появляются подробности о будущих Galaxy S25. Утечкой поделился инсайдер с ником Revegnus в соцсети X. Он рассказал о главных обновлениях устройств.

                                                                         

                                                                        Как сообщает издание «Коммерсантъ», крупные ритейлеры обратились к Минпромторгу и Генпрокуратуре с просьбой обратить внимание на новую мошенническую схему, в рамках которой покупатели преднамеренно портят технику, а затем получают компенсации через обращение в суд. Утверждается, что речь идёт о сотнях подобных дел, в рамках которых от крупных ритейлеров только за 2023 год было потребовано свыше 1 миллиарда долларов.

                                                                         
                                                                        Госдума отменила «интернет-рабство», Mir Pay удалили из Google Play. Главное за неделю
                                                                        139
                                                                        30.03.24News

                                                                        Разбираем ключевые события прошедших семи дней. В этом выпуске: свежий закон о свободном доступе провайдеров связи, выселение Mir Pay из Google Play и наглядные причины перехода на iPhone 15.

                                                                         

                                                                        Издание Escape from Tarkov за 11 тысяч рублей стало поводом для драмы в социальных сетях — и перчинки ситуации добавило слитое интервью с главой Battlestate Games Никитой Буяновым.

                                                                         

                                                                        Компания ZTE выпустила недорогой смартфон Changxing 60 с интересным набором характеристик. Новинка поставляется с Android-интерфейсом под кнопочную звонилку, оснащается неплохим для своей цены объёмом памяти и современным разъёмом USB Type-C, а также поддерживает сети 5G.

                                                                         

                                                                        Взломанные консоли и пиратские игры давно стали частью истории видеоигровой индустрии в России и продолжают ей быть, однако это всё ещё незаконная деятельность. В чём пришлось убедиться пенсионеру из Липецка.

                                                                         

                                                                        Не успели первые владельцы Cybertruck получить свои долгожданные авто, как некоторые из них тут же столкнулись с неисправностями и даже поломками, не успев проехать и пары километров. На форуме владельцев электропикапа уже появилась масса сообщений от недовольных пользователей.

                                                                         

                                                                        Канадская компания Sandvine поделилась статистикой веб-трафика, которая показывает его распределение по  объёму. Как оказалось, протокол BitTorrent переживает не лучшие времена — его изрядно потеснили сразу несколько популярных онлайн-площадок.

                                                                         
                                                                        «Снимать с зумом хочется даже чаще, чем на основную камеру». Тестируем Honor Magic6 Pro
                                                                        60
                                                                        3.05.24News

                                                                        Редакция досконально изучила флагманский Honor Magic6 Pro. Настало время пользователей проверить аппарат в разных условиях. Приглашённый эксперт и по совместительству постоянный читатель 4PDA делится своими впечатлениями от смартфона.

                                                                         
                                                                        Новый POCO F6 Pro с Flow AMOLED-экраном и 120-Вт зарядкой распродают по сниженной цене Популярное

                                                                        Спустя неделю с момента анонса смартфон POCO F6 Pro уже можно приобрести с хорошей скидкой. Новинка получила флагманский чип Snapdragon 8 Gen 2, экран с пиковой яркостью в 4000 нит, а также тройную основную камеру с 50-мегапиксельным датчиком Light Fusion 800.

                                                                         

                                                                        Разработчики «Яндекс Карт» и «Навигатора» обновили фирменные сервисы компании — теперь в приложении лучше видна траектория маршрута, а новые подсказки помогут водителям перестроиться, чтобы подготовиться к нужному повороту.

                                                                         

                                                                        Как сообщают «Ведомости», компания «Байкал Электроникс» продолжает налаживать производство процессоров Baikal на отечественных мощностях. Речь идёт о корпусировании — финальной и одной из самых затратных стадий сборки. Источники издания утверждают, что на выходе получается большой процент брака, но эксперты считают это нормальным явлением при налаживании нового производства.

                                                                         

                                                                        Samsung знаменита своими неоднозначными отношениями с зарядками: компания одной из первых перестала класть адаптеры в коробку к смартфонам, не наделяет флагманы по-настоящему быстрыми зарядками и теперь сделала ещё один необычный шаг. В продажу поступило зарядное устройство Samsung, которое удивляет своей ценой и характеристиками.

                                                                         

                                                                        По данным издания «Коммерсант», ФСБ и Минцифры ведут переговоры об ужесточении порядка продажи сим-карт гражданам РФ. Среди мер упомянуты обязательность биометрии, цифровые подписи и ограничение точек продажи. Цель — сократить число серых симок на рынке и помешать бизнесу посредников. К этой идее, впрочем, есть вопросы у экспертов — инициатива противоречит действующему законодательству.

                                                                         

                                                                        Когда в конце 2022 года Netflix объявила, что Генри Кавилл покинет сериал «Ведьмак» и образ Геральта из Ривии достанется Лиаму Хемсворту, фанаты приняли новость в штыки. С тех пор публика более-менее успокоилась, поняв, что без подобных замен в шоу-бизнесе не обойтись. Но один вопрос не даёт людям покоя: как авторы шоу обыграют «пластическую операцию» главного героя? Инсайдеры нашли ответ, подтвердив слух.

                                                                         

                                                                        Сотрудники Калифорнийского университета в Ирвине поделились результатами исследования, согласно которому основная часть выбрасываемых во время торможения частиц способна нести электрический заряд и последующий вред для здоровья людей. Эта работа может помочь в борьбе по сдерживанию источников загрязнения в крупных городах.

                                                                         

                                                                        Стартап из Калифорнии Aeromine Technologies разработал новый ветрогенератор, который можно устанавливать на крыши коттеджей, таунхаусов и обычных многоэтажных домов. По заявлениям производителя, он собирает на 50% больше энергии, чем солнечные панели, при тех же денежных затратах.

                                                                         
                                                                        Рыбы на китайской космической станции адаптировались к невесомости Популярное

                                                                        Четыре рыбки данио отлично себя чувствуют спустя месяц пребывания в космосе на борту китайской космической станции «Тяньгун». Этот эксперимент стал частью программы по адаптации позвоночных животных в условиях микрогравитации.

                                                                         

                                                                        Anthropic представила семейство больших языковых моделей Claude 3. ИИ научились распознавать картинки, и во многих бенчмарках демонстрируют превосходство над лидером отрасли — GPT-4 от OpenAI. Что примечательно, при тестировании новинок вскрылись нестандартные случаи проявления «самосознания». Рассказываем подробности.

                                                                         

                                                                        Кикшеринговая компания Whoosh интегрировала в свои электросамокаты фирменную технологию «Антитандем», призванную выявлять одновременное использование транспортного средства несколькими людьми. После теста в Санкт-Петербурге нововведение заработало во всех городах России, Беларуси и Казахстане, где представлен сервис.

                                                                         

                                                                        Microsoft давно сотрудничает с OpenAI. Так, на базе технологий стартапа работает чат-бот Microsoft Copilot. Хотя OpenAI продаёт доступ к своей самой передовой языковой модели за деньги, редмондская корпорация решила порадовать юзеров и встроила GPT-4 Turbo в бесплатный тариф Copilot.

                                                                         

                                                                        Компания Natron Energy запатентовала технологию работы аккумуляторов, основанных на электронах и пригодных для быстрой и частой передачи ионов натрия. Новый метод позволит десятикратно увеличить скорости работы аккумуляторов и повысить их ресурс до 50 000 циклов.

                                                                         

                                                                        Компания «Яндекс» пополнила серию умных колонок «Станция» моделью «Миди». В актуальной линейке уже пять устройств, но всё так запутанно, что из них нельзя выделить очевидного флагмана. Собрали все особенности «Станций» и разбираемся, какую колонку выбрать.