GDPR

Telegram può rivelare il tuo indirizzo di casa

Ahmed Hassan, ricercatore indipendente e cacciatore di bug, ha scoperto un pericoloso difetto nella funzione People Nearby di Telegram.

Il ricercatore dimostra che l’utilizzo della funzione può aiutare un malintenzionato a trovare la tua posizione esatta: ottimo strumento per uno stalker, per esempio, e per chiunque voglia mettere in atto comportamenti persecutori.

Telegram non attiva automaticamente questa funzione, è necessario abilitarla manualmente. Una volta attivata, la funzione ti consente di vedere gli utenti Telegram nelle vicinanze che hanno scelto di condividere la loro posizione.

A prima vista, People Nearby non rappresenta una grande minaccia. Non espone la tua posizione esatta, solo la tua area geografica relativa.

Ma dopo aver indagato un po’ Hassan ha scoperto che questa funzione può essere facilmente utilizzata per scopi poco leciti.

Antefatto

Alcuni anni prima, mentre utilizzava l’app Line , Hassan ha notato che la app aveva una funzionalità che consentiva agli utenti di connettersi con altri utenti all’interno della stessa area. La funzionalità forniva anche la distanza esatta tra loro.

“Se qualcuno avesse falsificato la propria latitudine e longitudine, avrebbe potuto triangolare un utente e trovare la sua posizione esatta“. Dice il ricercatore nel suo post.

Hassan ha segnalato il problema agli sviluppatori dell’app Line, che hanno provveduto a modificala fissando il bug. Grazie al programma di bug bounty  ha ricevuto anche 1.000 dollari come premio .

La storia si ripete

Il problema però si è riproposto quando, alcuni giorni fa, il ricercatore ha installato Telegram e ha notato la presenza della stessa funzionalità. Utilizzando la funzione People Nearby ha scoperto che Telegram soffre dello stesso problema dell’app Line: può permettere di rivelare la tua posizione esatta.

Il 22 dicembre scorso il ricercatore ha contattato Telegram segnalando quindi il problema agli sviluppatori.

Ha dovuto attendere 2 settimane per sentirsi dire che non è un problema, anzi che è normale che possa essere rivelare la posizione esatta in determinate condizioni.

Telegram può rivelare il tuo indirizzo

Rimane il fatto però che molti utenti non lo sanno quando abilitano la funzione People Nearby.

Come funziona

Telegram rivela la tua posizione esattaUna volta attivata la funzione People Nearby in Telegram, verrà visualizzato un elenco di persone vicino a te e a che distanza si trovano, come si vede in figura.

Per trovare la persona target è sufficiente utilizzare tre “false posizioni GPS” diverse rilevando la distanza dal target riportata dall’app, a quel punto con una tecnica di trilaterazione si riesce a trovare il punto in cui si trova il proprio bersaglio e ad ottenerne le coordinate esatte.

Fake GPS

Per fare questo è sufficiente usare Fake GPS .

Questo programma con soli due click permette di impostare una “falsa posizione GPS” sul tuo telefono in modo tale che ogni applicazione che utilizza i servizi di localizzazione venga ingannata.

Si inizia inserendo la prima “falsa posizione GPS” nel cellulare e si annota la distanza dalla vittima. E questo è il primo dato utile. Si ripete il procedimento con altre due “false posizioni GPS” raccogliendo così gli altri due dati cioè le altre due distanze della vittima.

È sufficiente poi inserire le coordinate dei tre punti, le tre false posizioni GPS, in un’app come Google Earth, e disegnare tre cerchi che hanno come raggio le distanze dalla vittima ottenute precedentemente.

Et voilà . . . l’intersezione dei tre cerchi è la posizione esatta dell’utente, con una minima tolleranza grazie a Telegram.

Telegram Google Earth

È chiaro che, se invece avete voglia di camminare, le tre posizioni potete raccoglierle facendo una passeggiata e spostandovi nei tre punti utili, con un raggio inferiore alle sette miglia (questo è un limite di Telegram).

Qualche riflessione

Sebbene sia difficile dire quanto questa vulnerabilità sia già stata sfruttata, è facile intuire come potrebbe essere utilizzata da truffatori, stalker,  persecutori o comunque per scopi di malaffare. Altri sviluppatori di app con caratteristiche simili hanno risolto questo problema aggiungendo un numero casuale alla distanza mostrata, rendendo inutili gli sforzi di triangolazione. Resta da vedere se Telegram avrà voglia di apportare una correzione simile.

0 0 votes
Article Rating
Subscribe
Notificami
guest
0 Commenti
Inline Feedbacks
View all comments
0
Mi piacerebbe sapere cona ne pensix
()
x