Вирахують навіть президента: Telegram дозволяє дізнатися координати людей із точністю до метра

У мобільній версії месенджера Telegram діє функція, яка дозволяє встановити місцезнаходження людини з точністю до метра. Програміст із ніком JKCTech описав алгоритм дій у GitHub.

У 2021 році розробники додали в Telegram функцію "Люди поруч", яка показує користувачів, які перебувать поблизу, і досить точну відстань до них. Таким чином можна переглянути їхні профілі або написати повідомлення, однак номер телефону залишається прихованим. Опцію можна увімкнути або вимкнути в будь-який час.

"Це може допомогти вам знайти нових друзів, але також може привернути небажану увагу", — попереджає повідомлення в додатку.

Зловмисники для пошуку жертви можуть скористатися методом трилатерації в поєднанні зі спуфінгом (підміною) GPS-сигналу. Процедура досить проста:

1. Дізнатися приблизне розташування жертви, наприклад, місто або район.
2. Вибрати точку для огляду в передбачуваній зоні перебування жертви, яку можна міняти приблизно раз на 10 хвилин. Повторювати цей пункт, поки програма не покаже потрібну людину.
3. Записати координати точки огляду та відстань до жертви.
4. Вибрати ще кілька точок огляду поблизу відстань 5-6 км, знайти жертву, повторити пункт 3.
5. Вставити зібрані дані в таблицю Excel і завантажити в сервіс GPS Visualizer, який представлятиме зони з центрами на вибраних точках у вигляді різнокольорових кіл.
6. Там, де кола перетинаються, і є жертва.

Процес займає приблизно пів години, якщо виконувати його вручну. Програміст JKCTech створив систему, здатну виконувати його автоматично за лічені хвилини. Програма визначає розташування всіх користувачів Telegram, які активували функцію, у вибраній зоні.

JKCTech зазначає, що, крім користувачів, відстежити за місцем розташування можна й групові чати. Завдяки функції "Люди поруч" з'явилася можливість читати повідомлення в таких групах, не приєднуючись до них. Таким чином, можна знайти чати, де люди продають нелегальні товари або надають послуги.

Фокус звернувся до спеціаліста з тестування мобільних додатків і голови "Гільдії IT-Фахівців" Тараса Розкішного, який проаналізував публікацію на GitHub. Він використовував емулятори в середовищі Android Studio, щоб перевірити роботу програми, розміщеної JKCTech.

За словами експерта, на емуляторах відтворити алгоритм можна, проте реальні пристрої визначення місцезнаходження користувача використовують багато різних компонентів: WiFi, Bluetooth, координати мережі, GPS. У зв'язку з цим, каже експерт, використовувати GPS-спуфінг дозволяють лише старі версії ОС Android. Однак це не скасовує той факт, що за допомогою емулятора на комп'ютері можна виставити будь-яку геолокацію, скористатися методом трилатерації та знайти людину з точністю до метра.

"Головний спосіб захисту — заборонити Telegram доступ до геолокації в налаштуваннях смартфона", — підсумував Тарас Розкішний.

Раніше писали, як у Telegram зливають списки контактів, номери банківських карток і фото користувачів. Такі дані можуть використовуватися в злочинних цілях, наприклад, для шантажу. 2020 року російський опозиціонер Олексій Навальний заявив, що за допомогою Telegram-бота з'ясував, як співробітники ФСБ стежили за ним перед отруєнням.

Повідомляли також, як шахраї використовують ботів у Telegram для збору персональних даних і шантажу. Вони погрожують зламати акаунти або розкрити інформацію про дії людини рідним чи колегам.