More

    O recurso Telegram expõe seu endereço preciso para hackers


    Se você estiver usando um dispositivo Android – ou, em alguns casos, um iPhone – o aplicativo de mensagens Telegram torna mais fácil para os hackers encontrarem sua localização precisa quando você ativa um recurso que permite que usuários que estão geograficamente próximos a você se conectem. O pesquisador que descobriu a vulnerabilidade de divulgação e a relatou em particular aos desenvolvedores do Telegram disse que não tem planos de consertá-la.

    O problema decorre de um recurso chamado Pessoas próximas. Por padrão, ele está desligado. Quando os usuários o habilitam, sua distância geográfica é exibida para outras pessoas que o ativaram e estão (ou estão falsificando) a mesma região geográfica. Quando Pessoas próximas é usado conforme planejado, é um recurso útil com poucas preocupações de privacidade, se é que há alguma. Afinal, uma notificação de que alguém está a 1 quilômetro ou 600 metros de distância ainda deixa os perseguidores adivinhando onde, precisamente, você está.

    Perseguição simplificada

    O pesquisador independente Ahmed Hassan, no entanto, mostrou como o recurso pode ser abusado para divulgar exatamente onde você está. Usando um software disponível e um dispositivo Android com root, ele é capaz de falsificar a localização que seu dispositivo informa aos servidores do Telegram. Usando apenas três locais diferentes e medindo a distância correspondente relatada por Pessoas próximas, ele é capaz de identificar a localização precisa de um usuário.

    O Telegram permite aos usuários criar grupos locais dentro de uma área geográfica. Hassan disse que os golpistas muitas vezes falsificam sua localização para derrubar esses grupos e, em seguida, vendem investimentos em bitcoins falsos, ferramentas de hacking, números de previdência social roubados e outros golpes.

    “A maioria dos usuários não entende que está compartilhando sua localização e talvez seu endereço residencial”, escreveu Hassan em um e-mail. “Se uma mulher usou esse recurso para bater papo com um grupo local, ela pode ser perseguida por usuários indesejados.”

    Um vídeo de prova de conceito que o pesquisador enviou ao Telegram mostrou como ele podia discernir o endereço de um usuário de Pessoas Próximas quando ele usava um aplicativo gratuito de falsificação de GPS para fazer seu telefone reportar apenas três locais diferentes. Ele então desenhou um círculo ao redor de cada um dos três locais com um raio da distância relatada pelo Telegram. A localização precisa do usuário era onde os três se cruzavam.

    Hassan pediu que o vídeo não fosse publicado. A imagem abaixo, entretanto, dá uma ideia geral.

    Ahmed Hassan

    Resolvendo o problema

    Em uma postagem no blog, Hassan incluiu um e-mail do Telegram em resposta ao relatório que ele havia enviado. Ele observou que Pessoas próximas não estão habilitadas por padrão e que “espera-se que determinar a localização exata seja possível sob certas condições”.

    Os representantes do Telegram não responderam a um e-mail pedindo comentários.

    Pessoas próximas representam a maior ameaça às pessoas que usam dispositivos Android, uma vez que relatam a localização de um usuário com granularidade suficiente para fazer o ataque de Hassan funcionar. O recém-lançado iOS 14, por outro lado, permite aos usuários divulgar apenas uma estimativa aproximada de sua localização. As pessoas que usam esse recurso não são tão expostas.

    Resolver o problema – ou pelo menos tornar muito mais difícil explorá-lo – não seria difícil de uma perspectiva técnica. Arredondar as localizações para a milha mais próxima e adicionar alguns bits aleatórios geralmente é suficiente. Quando o aplicativo Tinder tinha uma vulnerabilidade de divulgação semelhante, os desenvolvedores usaram esse tipo de técnica para corrigi-la.

    As consequências de privacidade do recurso Pessoas próximas do Telegram são um bom lembrete de que muitas vezes os recursos podem ser abusados ​​de maneiras que não são contempladas pelas pessoas que os desenvolvem. Os usuários que desejam manter a privacidade de seu paradeiro devem suspeitar dos serviços baseados em localização e fazer pesquisas antes de instalá-los ou ativá-los.


    Artigos Recentes

    Os melhores jogos Battle Royale

    Em 2018, um gênero de videogame dominou o discurso público e acabou chegando ao coração da cultura pop: The Battle Royale. O...

    Chegando à Casa Branca líder em ciência e tecnologia em IA, diversidade e sociedade

    Tecnologias como inteligência artificial e edição do genoma humano “revelam e refletem ainda mais sobre a arquitetura social...

    Vencedores e perdedores da CES 2021

    Tem sido uma semana agitada no mundo da tecnologia, com a conferência CES 2021 revelando vários gadgets, de TVs 8K a robôs que...

    Artigos Relacionados

    DEIXE UMA RESPOSTA

    Por favor digite seu comentário!
    Por favor, digite seu nome aqui