Через Telegram можно узнать реальный адрес человека. И для этого не нужно быть хакером

Аватар пользователя eprst

Telegram позволяет за несколько минут вычислить точные координаты своих пользователей, использующих встроенный сервис «Люди рядом». Алгоритм обнаружения прост, что дает возможность следить за нужным человеком даже тем, у кого нет никаких навыков хакинга. Аналогичная брешь была обнаружена в японском мессенджере Line несколько лет назад, но разработчики очень оперативно устранили ее.

Слежка при помощи Telegram

В мессенджере Павла Дурова Telegram обнаружена уязвимость, позволяющая определять точное местонахождение любого пользователя. Об этом в начале января 2021 г. сообщил в своем блоге пользователь Ахмед Хасан (Ahmed Hassan), обнаруживший, что можно вычислить очень точные координаты тех, кто пользуется Telegram.

Уязвимость скрывается в сервисе «Люди рядом», встроенном в мессенджер. С его помощью можно находить пользователей Telegram, находящихся поблизости – их место дислокации определяется по GPS-координатам и отслеживается в реальном времени. Сам мессенджер не раскрывает координаты пользователей, а лишь указывает точное расстояние до них, но этого уже достаточно для вычисления их местоположения и даже адреса проживания, если они подключились к Telegram из дома.

Сервис «Люди рядом» был добавлен в Telegram в июне 2019 г. и первоначально носил название «Люди поблизости». В феврале 2020 г. он получил обновление до версии 2.0.

Как работает уязвимость

Для вычисления координат того или иного человека в Telegram, по словам Ахмеда Хасана, нужно использовать метод триангуляции. На первом этапе нужно три раза изменить собственное местоположение, фиксируя при этом расстояние до нужного пользователя и свои же GPS-координаты.

teleg601.jpg

Местоположение пользователя установлено

Затем нужно на карте местности начертить три окружности, центром которых будут собственные координаты, а радиусом – расстояние до объекта слежки, указанное в Telegram. Этих простых действий достаточно, чтобы определить, где он находится – он будет там, где все три окружности пересекутся на карте.

Важный момент: отследить таким способом можно тех людей, кто пользуется в Telegram функцией «Люди рядом». Она требует включенного GPS-модуля, и объектом слежки может оказаться каждый. Для предотвращения всех попыток отследить ваше место дислокации третьими лицами при помощи данной уязвимости нужно прекратить пользоваться сервисом «Люди рядом» и отозвать у Telegram разрешение на доступ к геолокации.

Следить могут за каждым

Отследить местоположение пользователя Telegram можно вне зависимости от того, в какой стране или в каком городе он проживает. Например, спустя несколько дней после публикации статьи Ахмеда Хасана и его тестов, проведенных в Нью-Йорке (США), исследователь Андрей Копелян опубликовал на своем сайте Debug Pro результат использования уязвимости мессенджера в Нур-Султане (Казахстан).

teleg602.png

Тест уязвимости в Нур-Султане

Он скачал из Google Play одно из приложений-трекеров, использующих GPS, выбрал в Telegram совершенно случайного пользователя, применил алгоритм с тремя окружностями, и через несколько минут у него на руках был точный адрес этого человека, вплоть до дома.

По словам Андрея Копеляна, Telegram позволяет полностью идентифицировать пользователя при использовании дополнительной информации. Так, человек, которого он выбрал для проверки метода слежки, оставил номер своего телефона в открытом доступе, а также опубликовал свою реальную фотографию. Исследователь отметил, что при использовании поисковых систем, того же Google, можно будет найти дополнительные сведения об этом человеке, например, его страницы в соцсетях.

Дурной пример заразителен

Возможность отследить человека через функцию «Люди рядом» (в английской версии – People Nearby), впервые появилась вовсе не в Telegram – изначально такой «сервис» предоставлял японский мессенджер Line. Аналогичную уязвимость одноименной функции в нем обнаружил все тот же Ахмед Хасан.

teleg603.jpg

Сервисом «Люди рядом» пользуются во всем мире

Хасан связался с разработчиками Line и указал им на обнаруженную проблему. Те оперативно отреагировали на замечание и закрыли брешь в приложении – оно по-прежнему позволяет общаться с людьми поблизости, но теперь к их местоположению прибавляется произвольно взятое число, чтобы отследить их было невозможно.

Создатели Line отблагодарили Ахмеда Хасана премией в размере $1000 и добавили его имя в список тех, кто помог сделать мессенджер лучше. На момент публикации материала не было известно, связались ли с ним разработчики Telegram.

«Дыры» в Telegram

Telegram, считающийся одним из самых безопасных мессенджеров, на самом деле содержит множество уязвимостей. Например, в августе 2019 г. в нем была обнаружена лазейка, позволявщая властям различных стран вычислять номера телефонов тех, кто участвует в тех или иных акциях протеста и числится в соответствующих группах в мессенджере. Проблему обнаружили эксперты из Гонконга, где на тот момент как раз проходили многотысячные протесты.

В августе 2020 г. выяснилось, что Telegram допускал создание поддельного профиля, маскирующегося под «Избранное», в которое пользователи часто помещают важную информацию, включая фотографии и пароли. Хакеры могли написать пользователю с такого поддельного аккаунта, после чего он начал бы хранить эти сведения в поддельном «Избранном», открывая тем самым доступ к ним третьим лицам. Разработчики оперативно устранили эту брешь.

В сентябре 2020 г. CNews рассказывал, что Telegram «сливал» номера телефонов своих пользователей, притом даже и тех, кто в нем не зарегистрирован. Это давало возможность хакерам и просто третьим лицам вытащить всю информацию из их профилей и в дальнейшем использовать ее для создания поддельных аккаунтов с целью мошенничества. Здесь стоит отметить, что аналогичная проблема была обнаружена также в мессенджерах Signal и WhatsApp, известных своей развитой системой безопасности

Авторство: 
Копия чужих материалов
Комментарий автора: 

Кто там страдал по своей невинности - анонимности?

Комментарии

Аватар пользователя Bzz
Bzz(7 лет 4 месяца)

Здесь стоит отметить, что аналогичная проблема была обнаружена также в мессенджерах Signal и WhatsApp, известных своей развитой системой безопасности

Вот это прикольно, да. Проблема аналогичная, но Signal и WhatsApp "известны развитой системой безопасности", ага :о)))

Аватар пользователя Gris_Lion
Gris_Lion(6 лет 10 месяцев)

Эта фигня может быть интересна только домохозяйкам и бойскаутам.

Силовики или те, кто с ними дружит, такой ерундой заниматься не будут т.к.они эту инфу имеют в режиме реального времени.

Аватар пользователя Another_jim
Another_jim(8 лет 11 месяцев)

А он координаты до метра даёт? Или там некая дискретность, или округление до сотен? Тогда нужно, не круг рисовать, а кольцо. А там случайное смещение не добавляется? Точно?
 

Как удивительно, но все описанные проблемы есть в тиндере. А там это основная функция)

Аватар пользователя roman.kuvaldin
roman.kuvaldin(12 лет 3 месяца)

В тиндере телку на ночь ищут, а не обсуждаютя как власть свергать :-)

Аватар пользователя Комиссар Рекс

Аватар пользователя Руслан К
Руслан К(5 лет 9 месяцев)

smile3.gif

Аватар пользователя Another_jim
Another_jim(8 лет 11 месяцев)

Ах, это. Я бы на месте свергателей не обольщался)

в интернетах можно обкоординироваться, если вышел на улицу и совершил неких противозаконный акт, то шифрование не поможет.

Аватар пользователя gridd
gridd(7 лет 9 месяцев)

Точность позиционирования по сигналу от базовой станции ОпСоСа - 4 м.

Военный GPS и гражданский Глонасс - 1 метр

Гражданский GPS 5-7 метров

 

Аватар пользователя Another_jim
Another_jim(8 лет 11 месяцев)

А линейка имеет погрешность пару миллиметров на метр) и что?

Я бы н спрашивал, если бы, например, тиндндер не округлял данные, и ещё не добавлял бы рандомное смещение.

так и тут также. 

Аватар пользователя gridd
gridd(7 лет 9 месяцев)

А линейка имеет погрешность пару миллиметров на метр) и что?

И всё.

Я сейчас не про тиндер.

К информации данных сотовых операторов имеют лишь сотовые операторы и отдельные господа, через СОРМ-2. Ещё были такие телефоны Nokia с активируемым инженерным меню, которые показывали длительности прохождения сигнала до ближайших баз, вместе с собственно базами оператора. Ими до сих пор пользуются технические специалисты, которых мы приглашаем в офис, для того чтобы посмотреть, что делается с качеством сигнала сотовой связи. Вот этой информацией и пользуются чтобы вычислить местоположение конкретного мобильного терминала. Т.е. абонента мобильного терминала сотовой связи с точностью 4 м от каждой из трёх баз, всегда можно вычислить. Это будет точка с радиусом, где-то 6 метров. Более чем достаточно, если захотят найти по номеру сим-карты.

Точность наведения через GPS и Глонасс я указал. Но это случай, когда вас хотят найти и обезвредить, что было, как утверждается (но это неточно) в случае с Шамилем Басаевым.

Аватар пользователя Another_jim
Another_jim(8 лет 11 месяцев)

Зачем такие заморочки, можно просто установить слежку. Несколько выстрелов и не нужен никакой gps.

Плюс предательство людей из ближнего круга.

Аватар пользователя Another_jim
Another_jim(8 лет 11 месяцев)

выбрал в Telegram совершенно случайного пользователя

через несколько минут у него на руках был точный адрес этого человека, вплоть до дома

Ну, для чистоты эксперимента нужно было адрес спросить.

Конечно, информация, что в данном доме есть профиль, который пользуется телеграмм, это сильно. Мегауязвимость.

в тиндере ещё и фотки и описание)

 

я придумал ещё. Находим страницу кафешки, которая просит отзывы. Шлепаем в ее ВК, фейсбук. Мониторит людей в кафе, смотрим за отзывами.

Аватар пользователя Dimitriys
Dimitriys(5 лет 4 месяца)

Аналогичная проблема в Тиндере) 

Но девченки пугались когда я их сам находил. 

Комментарий администрации:  
*** отключен (хохлопропаганда) ***
Аватар пользователя Another_jim
Another_jim(8 лет 11 месяцев)

Конечно пугались, ведь у них не было тиндера))

Аватар пользователя user3120
user3120(8 лет 6 месяцев)

Трамп переехал в Телеграм(или его бот переехал [год назад] или это бот от самого телеграмма вместе с еще 500 ботами на публичных людей вроде того же Маска) - не пора ли набросить на вентилятор[т.к. телеграм вообще обсуждают в связи с Трампом и как мессенджер, где пока нет пиндоцензуры]?

Аватар пользователя Адский Советник

Пффф тоже мне новость с помощью телеги могу номер любого человека пробить его имя фамилию фотки машины и т.д. и наоборот.

Аватар пользователя Системник

Ну пробей мои. smile3.gif

Аватар пользователя Адский Советник

А нафиг ты мне сдался.smile3.gif

Аватар пользователя Системник

Трепло подзаборное. smile1.gif

Аватар пользователя Vladyan
Vladyan(8 лет 11 месяцев)

Аватар пользователя Oler
Oler(3 года 10 месяцев)

Надо же) Стоило только появиться новости об аккаунте Трампа в Телеграме...

Комментарий администрации:  
*** отключен (дешевые манипуляции) ***
Аватар пользователя oblomingov
oblomingov(10 лет 7 месяцев)

хакеры задолбали уже, нигде не скрыться

Аватар пользователя jamaze
jamaze(12 лет 2 месяца)

Проверил свой телеграм. Ставил по умолчанию. Разрешения на получение геопозиции у него нет.

Подозреваю, что у подавляющего большинства то же самое. Так что проблема скорее теоретическая.

Аватар пользователя igobel
igobel(8 лет 6 месяцев)

А без телеги никак не проследить?

Аватар пользователя Джыгит
Джыгит(7 лет 5 месяцев)

Было у меня хобби лет 5-10 назад - людей на одном сайте, где я обитал, вычислять. Один кадр там дурачился как-то, народ обижал. Ну я по прошествии минут двадцати поисков в тилифоне и говорю ему: “Щас Мариванне (начальница его, имя изменено) расскажу, чем ты в рабочее время занимаешься.“ Сцуко... я даже почуствовал, как он в своем офисе озирается. Исчез с сайта.

Кого там только не было... Не последний человек из команды одного из представителей в одном из федеральных округов матерился как извозчик. Ну его я раскрывать не стал, только намекнул, чтоб вел себя приличнее:)

Не, ну там и дыры были на сайте (я хозяину потом маякнул чтоб закрыл, когда наигрался, даже базу себе не списал:), да и без дыр дофига простых.

Аватар пользователя volga17
volga17(5 лет 8 месяцев)

Интересно, а как Вы их вычисляли?

Возможно, владелец сайта требовал при регистрации указать фамилию, имя, отчество, номер телефона, но каким-то образом не защитил эти персональные данные?

Я вот не представляю, как можно вычислить домашний адрес человека, его паспортные данные, не обладая данными МВД. К примеру, раньше, в нулевых, хакеры продавали на рынках диски с картотекой данных про жителей региона.

Аватар пользователя Intel4004
Intel4004(11 лет 8 месяцев)

Тоже любил в начале 2000х так развлекаться. Очень забавно наблюдать за человеком, который внезапно понял, что он больше не анонимен.

Вычислялось реально по IP :)

Звонишь админу городского портала:

- Нужны IP такого-то пользователя.

Получаешь белый адрес прокси и серый адрес за проксей. Прикидываешь, белый адрес - где-то на камазе. Звонишь админу камаза:

- Такой-то IP - это где?

- Это на литейном заводе.

Звонишь админу литейки:

- Это во втором АБК.

- А кто у нас там админит?

- Вася.

- О, Васю знаю.

Звонишь Васе:

- Второй этаж, кабинет 287, стол у окна, зовут Лена, 23 года, не замужем, есть ребенок. Телефон домашний, рабочий.

Через 10 минут Лена исчезает из чата матеря хакеров и КГБ и навсегда зарекаясь вести себя в инете неосторожно :)

На следующей тусовке ставишь Васе пиво.

PS. Сейчас, кстати, все намного проще. Практически у всех белые адреса из пула какого-нибудь крупного провайдера. Достаточно иметь знакомых в админах этих провайдеров - и все решается одним звонком.

Аватар пользователя Джыгит
Джыгит(7 лет 5 месяцев)

Возможно, владелец сайта требовал при регистрации указать фамилию, имя, отчество, номер телефона,

Не, почту. Хотя в обоих вышеуказанных случаях дыра была уже закрыта.

Я вот не представляю, как можно вычислить домашний адрес человека, его паспортные данные, не обладая данными МВД.

Иногда можно, если повезёт:) 

Кстати... А что такое "ga17"? (Про "vol" не спрашиваю;)

 

Аватар пользователя Оригинальный куплетист

Telegram «сливал» номера телефонов своих пользователей, притом даже и тех, кто в нем не зарегистрирован

И даже номера телефонов, которых не существует в природе.

Аватар пользователя Кабандос
Кабандос(5 лет 11 месяцев)

А какой русский город называется сейчас Нур-Султан?

Комментарий администрации:  
*** отключен (систематические набросы и паникерство, копипаста тухлятины под видом свежих новостей) ***
Аватар пользователя NSX
NSX(9 лет 7 месяцев)

это не уязвимость, а вынужденное палево своих координат... Сама функция говорит о том что ВЫ ГДЕ ТО РЯДОМ!!!!! в радиусе.

ПРосто пометку нужно сделать при включении функции что теперь вы видимый.

Аватар пользователя andre.bliz
andre.bliz(11 лет 3 месяца)

Про аналогичную фигню я писал в техподдержку яндекса, когда они тестировали свою Ауру.

Там был дополнительный шаг в этом процессе(потому как они округляли расстояние) но схема работала.

 

 

Скрытый комментарий Повелитель Ботов (без обсуждения)
Аватар пользователя Повелитель Ботов

Перспективный чат детектед! Сим повелеваю - внести запись в реестр самых обсуждаемых за последние 4 часа.

Комментарий администрации:  
*** Это легальный, годный бот ***