• В Беларуси
  • Наука
  • Интернет и связь
  • Гаджеты
  • Игры
  • Оружие
  • Архив новостей
    ПНВТСРЧТПТСБВС
  1. Могилев лишился двух уникальных имиджевых объектов — башенных часов и горниста (и все из-за политики). Что дальше?
  2. Во всех районах Беларуси упали зарплаты, в некоторых — больше чем на 300 рублей
  3. Александр Лукашенко — больше не президент Национального олимпийского комитета
  4. Показываем, как выглядит часть зданий БПЦ на улице Освобождения, ради которых снесли объекты ИКЦ
  5. Защитник Бабарико и Колесниковой подал жалобу в суд на лишение его лицензии, но ему отказали
  6. Экс-директору отделения Белгазпромбанка в Могилеве Сергею Кармызову вынесли приговор
  7. Один из почетных консулов Беларуси в Италии подал в отставку из-за несогласия с происходящим после выборов
  8. 57-летняя белоруска выиграла международный конкурс красоты. Помогли уверенность и советы Хижинковой
  9. Звезда белорусской оперы сказал три слова на видео, его уволили «за аморальный проступок» — и суд с этим согласился
  10. Год назад в Беларуси выявили первый случай COVID-19. Что сделано за год, а что — нет
  11. Под угрозой даже универсам «Центральный». Что происходит в магазинах «Домашний» из-за проблем сети
  12. Виктора Лукашенко уволят с должности помощника президента
  13. Минздрав рассказал, сколько пациентов инфицировано COVID-19 за последние сутки и сколько умерло
  14. «Будет готов за три-четыре месяца». Частные дома с «завода» — сколько они стоят и как выглядят
  15. Секс-символ биатлона развелась и снялась для Playboy (но уже закрутила роман с близким другом)
  16. Год назад в Беларусь пришел коронавирус. Рассказываем про эти 12 месяцев в цифрах и фактах
  17. «Ситуация, похоже, только ухудшилась». Представитель Верховного комиссара ООН — о правах человека в Беларуси
  18. «Куплен новым в 1981 году в Германии». История 40-летнего Opel Rekord с пробегом 40 тысяч, который продается в Минске
  19. Рынок лекарств штормит. Посмотрели, как изменились цены на одни и те же препараты с конца 2020-го
  20. «Усе зразумелi: вірус існуе, ад яго можна памерці». Год, как в Беларусь пришел COVID: поговорили со вдовой первой жертвы
  21. Байкеры пытались отбить товарища у неизвестных у ТЦ «Европа». Ими оказались силовики, парней отправили в колонию
  22. «Врачи нас готовили к смерти Саши». История Марии, у чьей дочери пищевод не соединялся с желудком
  23. Белоруска едет на престижнейший конкурс красоты. И покажет дорогое платье, аналогов которому нет
  24. «Теряю 2500 рублей». Работники требуют, чтобы «плюшки» были не только членам провластного профсоюза
  25. Судьба ставки рефинансирования, обновленный КоАП, дедлайн по налогам, заморозка цен. Изменения марта
  26. «Бэушка» из США против «бэушки» из Европы: разобрали, какой вариант выгоднее, на конкретных примерах
  27. Минчане пришли поставить подпись под обращением к депутату — и получили от 30 базовых до 15 суток
  28. Минское «Динамо» проиграло в гостях питерскому СКА
  29. По Мстиславлю уже 5 месяцев гуляет стадо оленей. Жители говорят, что олениха с детенышем ранена
  30. «Фантастика какая-то». В Гродно начали судить водителя Тихановского, который молчал все следствие


Naked Science

В Telegram обнаружен способ определить местонахождение пользователя — благодаря функции «Люди рядом» можно с точностью до нескольких десятков метров определить местоположение неосторожного пользователя Telegram. Это открывает широкий простор для действий злоумышленников. Единственный способ обезопасить себя — контролировать использование геолокации мессенджером. Об этом пишет Naked Science.

Ахмед продемонстрировал, как можно определить местоположение нужного пользователя. Источник: Ahmed’s Notes
Ахмед продемонстрировал, как можно определить местоположение нужного пользователя. Источник: Ahmed’s Notes

Сообщение о найденной уязвимости опубликовал в своем блоге энтузиаст Ахмед Хасан (Ahmed Hassan, имя может быть ненастоящим). Несколько лет назад он уже сообщал об аналогичном недостатке команде разработчиков мессенджера Line. Они выплатили ему премию в размере тысячи долларов и стали добавлять к отображаемому расстоянию между пользователями случайные числа.

Механизм злоупотребления подобными функциями заключается в банальной триангуляции и выглядит следующим образом. Злоумышленник может посмотреть, какое расстояние до целевого пользователя показано в приложении. Затем изменить свое местоположение еще два раза, попутно отмечая изменения расстояния. Чтобы определить сравнительно точное место, где находится цель, нужно нанести на карту три круга с центром в своих координатах и радиусом равным найденному расстоянию. Нужный пользователь будет в точке пересечения окружностей.

Причем для изменения своего местоположения совсем необязательно гулять по городу с телефоном в руке. Существует множество сравнительно простых способов подмены данных геолокации. Необходимые приложения доступны, например, в Google Play. В качестве демонстрации описанной атаки Хасан выбрал произвольную точку мира и нашел реальное местонахождение случайного пользователя. По мнению Ахмеда, неосторожные пользователи могут стать жертвами мошенников, преследователей и киберпреступников. К тому же среди «местных» чатов он нашел такие, по сравнению с которыми известный черный рынок теневого интернета Silkroad — «дилетантский проект».

Функцию «Люди рядом» (People Nearby) добавили в Telegram около полутора лет назад. Она позволяет общаться с пользователями, которые находятся в радиусе нескольких километров. Также в данном разделе можно создать или присоединиться к групповому чату, который привязан к определенной местности. Чтобы пользователя найти в этом разделе, он должен оставить включенной кнопку «Показывать меня здесь». При ее активации приложение предупредит, что данное действие может привлечь нежелательное внимание. Информация профиля, включая фотографии, будет видна окружающим, но телефонный номер останется скрыт.

Автор Naked Science в рамках подготовки этого материала проверил функционал People Nearby. Выяснилось несколько дополнительных подробностей, на которые не указал Ахмед. Как только пользователь открывает меню «Люди рядом», его никнейм сразу появляется в списке и ему может написать кто угодно. Это происходит даже без активации пункта «Показывать меня здесь». Если раздел закрыть, имя из списка пропадает через несколько секунд. Кроме того, включить постоянное отображение невозможно, когда в настройках профиля доступ к фотографиям разрешен только людям из списка контактов. «Показывать меня здесь» можно отключить в любой момент, главное — не забыть об этом.

Иными словами, на полноценную уязвимость в мессенджере описанный Хасаном метод не похож. Когда он сообщил о нем в техническую поддержку Telegram, энтузиасту так и ответили. Получается, пользователи должны сами следить за тем, какие функции в приложении они активируют.

-10%
-70%
-20%
-50%
-10%
-20%
-25%
-5%
-10%
-60%
0072641