Бесплатно Экспресс-аудит сайта:

07.01.2021

Уязвимость в Telegram позволяет определить местонахождение пользователя

Мессенджер Telegram предоставляет пользователям функцию "Люди рядом", благодаря которой можно определить местоположение клиента соцсети с точностью до нескольких десятков метров.

Сообщение о найденной уязвимости опубликовал в своем блоге энтузиаст Ахмед Хасан. Несколько лет назад он уже сообщал об аналогичном недостатке команде разработчиков мессенджера Line. Создатели мессенджера выплатили Хасану премию в размере тысячи долларов и устранили проблему.

Хотя Telegram показывает лишь расстояние до того или иного пользователя в списке, определить его точное местоположение можно при помощи триангуляции. Для этого нужно дважды изменить своё местоположение, отмечая каждый раз расстояние до пользователя, а затем нанести на карту три круга с центром в своих координатах и радиусом, равным найденному расстоянию. Пользователь будет находиться в точке пересечения окружностей. При этом найти можно только тех, кто пользуется функцией «Люди рядом».

Стоит отметить, что альтернативные решения в других приложениях для просчёта расстояния между пользователями предусматривают добавление к координатам случайного числа, что делает невозможным определение реальной геопозиции, но в случае с Telegram разработчики решили пренебречь этой дополнительной мерой безопасности.