O pesquisador descobriu uma vulnerabilidade no Telegram. O fato é que o mensageiro oferece aos usuários a “as pessoas próximas” função, graças ao qual é possível determinar a localização de um cliente de rede social com uma precisão de várias dezenas de metros.
O entusiasta Ahmed Hasan postou uma mensagem sobre a vulnerabilidade encontrada em seu blog.
Vários anos atrás, ele já relatou uma falha semelhante à equipe de desenvolvimento do Line Messenger. Os criadores do mensageiro pagaram a Hassan um bônus de $ 1,000 e resolveu o problema.
Embora o Telegram mostre apenas a distância até um usuário específico na lista, você pode determinar sua localização exata usando triangulação.
Para fazer isso, você precisa mudar sua localização duas vezes, marcando cada vez a distância até o usuário, e depois desenhe no mapa (por exemplo, nos mapas do Google) três círculos com centro em suas coordenadas e raio igual à distância encontrada. O usuário estará na intersecção dos círculos.
Deixe-me lembrá-lo, por falar nisso, que Pesquisador ganho $10,000 encontrando vulnerabilidade XSS no Google Maps.
Ao mesmo tempo, podem ser encontrados apenas os usuários, quem usa o “As pessoas próximas” função.
Ressalta-se que soluções alternativas em outras aplicações para cálculo de distância entre usuários incluem a adição de um número aleatório às coordenadas, o que torna impossível determinar a real geolocalização, mas no caso do Telegram, os desenvolvedores decidiram negligenciar esta medida de segurança adicional.
