Kibernetinio saugumo tyrėjai, atradę šią saugumo spragą, privačiai apie ją informavo „Telegram“ kūrėjus, tačiau išgirdo atsakymą, kad šie nieko keisti neketina.
Privatumo spraga yra susijusi su funkcija, vadinama „People Nearby“. Pagal nutylėjimą ji yra išjungta. Kuomet vartotojas ją įjungia, žmonėms, kurie taip pat yra ją įsijungę ir yra tame pačiame geografiniame regione (arba skaitmeniniu būdu apsimeta, kad yra tam tikrame regione), rodomas geografinis atstumas iki kitų tos pačios funkcijos naudotojų.
Kuomet funkcija „People Nearby“ yra naudojama pagal paskirtį, tai yra naudinga funkcija, kurioje privatumo trūkumų nėra daug: žmogui, norinčiam jus susekti, tikriausiai nebus labai daug naudos iš žinojimo, kad esate kažkurioje pusėje, nutolę nuo pusės kilometro iki kilometro atstumu.
Supaprastintas vartotojo vietos nustatymas
Nepriklausomas kibernetinio saugumo tyrėjas Ahmedas Hassanas parodė, kad tą funkciją galima išnaudoti ir nelabai gražiais tikslais bei aiškiai nustatyti, kur tiksliai esate. Naudojant laisvai prieinamą programinę įrangą ir „rootintą“ „Android“ telefoną, jis sugebėjo imituoti savo įrenginio geografinę poziciją „Telegram“ tarnybinėms stotims. Tokiu būdu, suimitavus tris skirtingas pozicijas ir išmatavus atstumus, galima nustatyti tikslią kito vartotojo buvimo vietą.
„Telegram“ vartotojams siūlo galimybę kurti vietines pokalbių grupes žmonėms, kurie yra toje pačioje geografinėje aplinkoje. A.Hassanas sakė, kad skaitmeniniai sukčiai neretai skaitmeniniu būdu imituoja savo pozicija norėdami įsibrauti į tokias grupes ir tuomet jose užsiima įvairiais sukčiavimo būdais: siūlo investuoti į kriptovaliutas, pirkti pavogtus mokėjimo kortelių duomenis ar užsiima kita veikla.
„Dauguma vartotojų nesuvokia, kad dalinasi savo buvimo vieta ir gal net savo namų adresu. Jei tokia funkcija pokalbiams kaimynystės grupėje pasinaudotų kokia panelė, ji galėtų susilaukti nepageidaujamų persekiotojų dėmesio“, – sakė A.Hassanas.
Tokios galimybės piktybinio išnaudojimo vaizdo įrašas, nusiųstas programėlės „Telegram“ kūrėjams, parodė, kaip galima nustatyti tikslų kitų „People Nearby“ funkcijos naudotojų adresą naudojant nemokama GPS pozicijos imitavimo priemone, kurią naudojant telefonui pakanka į serverį nusiųsti tris skirtingas buvimo vietas. Tuomet aplink kiekvieną iš nurodytų taškų nubrėžiami apskritimai, kurių spindulys yra lygus „Telegram“ serverių nurodomam atstumui iki „ieškomo“ naudotojo. Naudotojas būna tame taške, kur visi trys apskritimai susikerta.
Viešai to vaizdo įrašo A.Hassanas neplatino.
Kaip pataisyti?
Savo tinklaraštyje A.Hassanas pateikė ir atsakymą, kurį jam elektroniniu paštu atsiuntė „Telegram“. Laiške nurodoma, kad „People nearby“ funkcija nėra įjungta pagal nutylėjimą ir kad „galima būtų tikėtis, jog esant tam tikroms sąlygoms įmanoma nustatyti tikslią naudotojo buvimo vietą“.
Žurnalistams šios situacijos „Telegram“ nekomentavo.
Didžiausią grėsmę „People Nearby“ funkcija kelia „Android“ įrenginių naudotojams – būtent jie vartotojo buvimo vietą „Telegram“ serveriams nurodo su pakankamu tikslumu, kad A.Hassano pademonstruotas būdas suveiktų. Palyginimui, „iOS 14“ operacinė sistema įrenginiams suteikia galimybę išduoti tik apytikslę jų buvimo vietą.
Žvelgiant iš techninės pusės, šios spragos užtaisymas (ar bent jau išnaudojimo apsunkinimas) neturėtų būti sudėtingas: paprastai tam turėtų užtekti vartotojo pozicijos suapvalinimas iki kilometrų ar kokių nors atsitiktinių duomenų pridėjimas. Panašios prigimties privatumo spragą „Tinder“ programėlės kūrėjai užtaisė.