Под угрозой может оказаться любой пользователь, активировавший функцию "Люди рядом". Злоумышленникам понадобится лишь старый смартфон на Android, чтобы вычислить жертву.
В мобильной версии мессенджера Telegram действует функция, которая позволяет установить местоположение человека с точностью до метра. Программист с ником JKCTech описал алгоритм действий в GitHub.
В 2021 году разработчики добавили в Telegram функцию "Люди рядом", которая показывает пользователей, находящихся поблизости, и довольно точное расстояние до них. Таким образом можно посмотреть их профили или написать сообщения, однако номер телефона остается скрытым. Опцию можно включить или выключить в любое время.
"Это может помочь вам найти новых друзей, но также может привлечь нежелательное внимание", — предупреждает уведомление в приложении.
Злоумышленники для поиска жертвы могут воспользоваться методом трилатерации в сочетании со спуфингом (подменой) GPS-сигнала. Процедура довольно простая:
- Узнать примерное местоположение жертвы, например, город или район.
- Выбрать точку для обзора в предполагаемой зоне нахождения жертвы, которую можно менять примерно раз в 10 минут. Повторять этот пункт, пока приложение не покажет нужного человека.
- Записать координаты точки обзора и расстояние до жертвы.
- Выбрать еще несколько точек обзора поблизости с расстоянием 5-6 км, найти жертву, повторить пункт 3.
- Вставить собранные данные в таблицу Excel и загрузить в сервис GPS Visualizer, который представит зоны с центрами на выбранных точках в виде разноцветных кругов.
- Там, где круги пересекаются, и находится жертва.
Процесс занимает примерно полчаса, если его выполнять вручную. Программист JKCTech создал систему, способную выполнять его автоматически за считанные минуты. Программа определяет местоположение всех пользователей Telegram, активировавших функцию, в выбранной зоне.
JKCTech отмечает, что помимо пользователей, отследить по местоположению можно и групповые чаты. Благодаря функции "Люди рядом" появилась возможность читать сообщения в таких группах, не присоединяясь к ним. Таким образом можно найти чаты, где люди продают нелегальные товары или оказывают услуги.
Фокус обратился к специалисту по тестированию мобильных приложений и главе "Гильдии IT-cпециалистов" Тарасу Розкишному, который проанализировал публикацию на GitHub. Он использовал эмуляторы в среде Android Studio, чтобы проверить работу программы, размещенной JKCTech.
По словам эксперта, на эмуляторах воссоздать алгоритм можно, однако реальные устройства для определения местонахождения юзера используют много разных компонентов: WiFi, Bluetooth, координаты сети, GPS. В связи с этим, говорит эксперт, использовать GPS-спуфинг позволяют только старые версии ОС Android. Однако это не отменяет тот факт, что при помощи эмулятора на компьютере можно выставить любую геолокацию, воспользоваться методом трилатерации и найти человека с точностью до метра.
"Главный способ защиты — запретить Telegram доступ к геолокации в настройках смартфона", — подытожил Тарас Розкишный.
Ранее писали, как в Telegram сливают списки контактов, номера банковских карт и фото пользователей. Такие данные могут использоваться в преступных целях, например, для шантажа. В 2020 году российский оппозиционер Алексей Навальный заявил, что при помощи Telegram-бота выяснил, как сотрудники ФСБ следили за ним перед отравлением.
Сообщали также, как мошенники используют ботов в Telegram для сбора персональных данных и шантажа. Они угрожают взломать аккаунты или раскрыть информацию о действиях человека родным или коллегам.