Telegram附近的人功能安全风险
根据一些安全人员的详细研究可以发现,有些用户在使用了电报“附近的人”功能之后,竟然出现了暴露用户确切位置的问题,并且发现这个功能长期存在。
这就让这款电报处在了风口浪尖的位置之上,毕竟电报身为一款高度匿名的软件,并且声称自己是世界上最安全的加密软件之一,如果一旦出现了位置被暴露的风险,面对自己在网上那些言论,分分钟被大家曝光,根本就没有脸见人。
而根据电报当中的相关功能可以了解到,开启这个功能的用户可以看到十几千米以内的其他用户列表,已达到添加附近人进行聊天的问题。
而这位用户就是通过伪造自己的安卓设备位置,采取三个不同距离点进行定位,使用三角定位法的方式来精确定位目标的位置,这样就能够在很大程度上找到准确的家庭住址。
当年国内很多社交媒体APP也出现过类似的问题,在那个时候还没有对用户位置距离限定的比较严格,就被多方使用过这样的技术。
技术原理是什么呢?
·打开电报APP,找到附近的人选项,这样就可以查看人们距离大家所处的位置是多少,而且根据相关用户表示,这个功能目前可以伪造。
·点击之后就会显示附近人列表。
·在这个列表当中能够查看到每个人距离大家的详细距离。
·用户采用了三角定位的方法,原理是利用两台或者两台以上的探测器,分别处于不同的位置目标方位进行探测,运用三角几何的原理来确定目标的位置和距离,学过几何的朋友们应该都有所了解。
这样只需要用户拥有一定的基础基础,就可以通过伪造自己位置获得三个点,利用这三个点以三角分布的方式快速选取,每围绕一个新的位置,就会获得一下想要获取的目标地址,并显示自己距离这个目标位置的距离,这个距离就可以作为半径使用,接下来只需要将这些数据绘制三个三角。当然所提到的伪造手机定位方法种类非常丰富,感兴趣的小伙伴们可以详细了解一下。从电报官方当中得到的消息可以得知,电报目前最多能够获得七英里半径范围内的用户列表。
具体操作
·当我们发现目标用户所在的大致位置之后,就可以把自己的定位地址改到这里,重复三遍收集目标用户距离自己伪造点的距离。
·打开Google Earth Pro,搜索目标位置的精度和纬度,使用标尺从每个位置绘制一个带有目标用户目的地的圆圈。三个圆圈的交点就是用户的所在位置。
其实用户很容易就可以看出这是官方存在的相关漏洞,但是目前官方并不认为这符合他们的漏洞赏金计划,随之表示用户不想使用这个功能的时候可以随时禁用,也就不会出现以上问题。看来电报官方目前并没有打算修复这项漏洞的计划,也就表示这个方法仍然存在一定的现实意义。
同样是主流的社交媒体软件Line,用户在应用程序当中报告了这样的问题,Line竟然给予了用户1000美元的奖励,解决方法也很快出台,只不过相对比较简单,通过向用户的目的地添加随机数,从而使得上述提及的方法所带来的结果变得不准确。
在很多人看来,电报官方没有解决这个问题的主要原因在于,Telegram API在很多主要城市运行了一个自动化脚本,可能就是通过这样一个原理,广泛收集数以万计用户在几个月内的相关运动数据,并且希望电报官方不要修复这个功能。
当然这个功能并非漏洞百出,不想让他人通过这样的方法找到自己的准确位置,还可以禁止位置权限,毕竟只有开启这个功能之后才能够被他认定未到,所以有些时候为了自己的隐私安全,建议大家深思熟虑之后再做决定。