Un rapporto pubblicato dal ricercatore sulla sicurezza informatica Ahmed Hassan afferma che la funzione “Persone nelle vicinanze”, che consente agli utenti di Telegram di vedere chi si trova nelle vicinanze, potrebbe essere abusata dagli attori delle minacce per triangolare la posizione di utenti ignari.
Sebbene la funzione sia disabilitata per impostazione predefinita, gli utenti che la abilitano ignorano che, così facendo, potrebbero rivelare la loro posizione con un alto grado di precisione.
Questa funzione elenca gli utenti di Telegram entro un raggio di circa 2,5 chilometri. Secondo l’Expert Advisor, è possibile impersonare la posizione di un utente calcolando la distanza tra tre diversi punti e indicando con precisione la posizione dell’utente target.
Tutto ciò che gli hacker malintenzionati devono fare per falsificare una posizione è camminare in una determinata area, raccogliere la sua latitudine e longitudine e determinare la distanza dell’utente di destinazione.
Hassan afferma anche che è possibile completare l’attacco utilizzando uno strumento di falsificazione GPS: “Qualsiasi app disponibile sul Play Store è funzionale per l’attacco; gli aggressori dovrebbero installare solo app come GPS Spoof e creare tre posizioni vicino all’utente entro un raggio di 11 chilometri”.
Utilizzando queste tre posizioni, gli autori delle minacce potrebbero utilizzare strumenti come Google Earth Pro per collegare posizioni contraffatte e calcolare il punto medio tra le tre: “Ho testato con successo l’attacco con un utente dell’app”, afferma il ricercatore.
A tal proposito, Telegram afferma che questo non è considerato un difetto di sicurezza, quindi la segnalazione è stata respinta: “La funzione è disabilitata di default; sebbene sia possibile determinare la posizione di un utente in condizioni specifiche, questo rapporto non è coperto dal nostro programma di ricompensa per le vulnerabilità. “
Per evitare che ciò accada di nuovo, l’azienda potrebbe arrotondare le posizioni degli utenti al miglio più vicino per evitare di inviare posizioni precise. Inoltre, Hassan consiglia di aggiungere rumore casuale alla funzione in modo simile a quello che ha fatto Tinder quando è stato segnalato un problema identico sulla piattaforma.