Una función de Telegram permite a otros conocer tu ubicación exacta
El software sin importar cuán seguro sea, a menudo corre el riesgo de ser mal utilizado, hackeado o utilizado como herramienta para hackear a otras personas.
La mayoría de las veces, los hackers explotan funciones disponibles y de uso masivo con fines maliciosos y esto es lo que demostró recientemente un investigador de ciberseguridad con la aplicación encriptada de Telegram.
Para quienes aún desconocen de Telegram, deben saber que es una aplicación de mensajería para Android e iOS que permite una comunicación segura. La aplicación protege llamadas e intercambios de mensajes, fotos, videos y documentos mediante lo que se denomina «cifrado de extremo a extremo».
Aun que la aplicación no es del todo segura como podrías creer y es que esto se debe a que la aplicación Telegram facilita a los hackers encontrar la ubicación exacta de un dispositivo Android y activa una función que permite a los usuarios que están geográficamente cerca conectarse.
La vulnerabilidad también existe en algunos iPhones y el investigador, que descubrió la vulnerabilidad de divulgación de la ubicación y la informó responsablemente a los desarrolladores de Telegram, dijo que los desarrolladores no tenían la intención de solucionarlo.
El problema se debe a una función llamada «Personas cercanas» que por defecto, está deshabilitado y cuando los usuarios lo habilitan, su distancia geográfica se muestra a otras personas que lo habilitaron y que se encuentran en la misma región geográfica (o que están falsificando su ubicación).
Cuando la opción «Personas cercanas» se utiliza según lo previsto, es una función útil que plantea pocas o ninguna preocupación por la privacidad. Sin embargo, una notificación de que alguien está a 1 kilómetro o 600 metros de distancia todavía deja a los acosadores adivinando exactamente dónde estás.
Afortunadamente, las personas necesitan habilitar esta función porque se deshabilita automáticamente después de la actualización. Por lo tanto, no todo el mundo es susceptible, sin embargo, existe un problema, ya que no todos los usuarios saben que al activar «Personas cercanas», están compartiendo su ubicación o incluso su dirección personal.
A continuación se muestra la respuesta de los desarrolladores de Telegram, cuando el investigador independiente Ahmed Hassan les envió una prueba de la vulnerabilidad en forma de un informe de video:
«Gracias por contactarnos. Los usuarios de la sección «Personas cercanas» comparten intencionalmente su ubicación, y esta función está deshabilitada de forma predeterminada. Se espera que sea posible determinar la ubicación exacta bajo ciertas condiciones. Desafortunadamente, este caso no está cubierto por nuestro programa de recompensas por errores ”.
Hassan dice que ganó un bono cuando descubrió tal vulnerabilidad en la aplicación de mensajería Line, que también tiene la misma función «Personas cercanas». En este primer caso, los desarrolladores solucionaron el problema.
Usando un software de fácil acceso, Hassan pudo enviar los servidores de Telegram a tres ubicaciones falsas alrededor de la ubicación aproximada del objetivo, desde un teléfono Android «rooteado».
Al hacerlo, pudo mejorar la precisión de la ubicación del objetivo al reducir el radio de su ubicación geográfica. Por lo tanto, al medir la distancia correspondiente informada por personas cercanas, es capaz de identificar la ubicación de un usuario.
Pero parece que los problemas para compartir la ubicación de la aplicación no terminan solo con la función.
Telegram también brinda a los usuarios la capacidad de crear grupos locales utilizando ubicaciones geográficas, como un grupo comunitario en un suburbio específico, por ejemplo. Estos grupos también son particularmente vulnerables a los piratas informáticos, según el investigador. Cualquiera con conocimiento suficiente de la función podrá falsificar la ubicación, descifrar estos grupos.
“La mayoría de los usuarios no comprenden que están compartiendo su ubicación y tal vez su dirección particular”, escribió Hassan en un comunicado enviado por correo electrónico. «Si una mujer usa esta función para chatear con un grupo local, puede ser acosada por usuarios no deseados«.
El video de demostración que el investigador envió a Telegram mostró cómo pudo discernir la dirección de un usuario de la función «Personas cercanas» cuando usó una aplicación gratuita GPS Location Spoofer para informar sobre solo tres diferentes lugares.
Luego dibujó un círculo alrededor de cada una de las tres ubicaciones con un radio de la distancia informada por Telegram y en donde la posición precisa del usuario era donde se cruzaban los tres círculos.
Fuente: https://blog.ahmed.nyc