В сети появилась информация о способе, который позволяет определять местоположение пользователей Telegram в режиме реального времени. Избавиться от риска быть обнаруженным можно прямо в мессенджере, если отключить одну из его встроенных функций.
«Люди рядом» — это функция, которая показывает в Telegram других пользователей мессенджера поблизости. Специалист по кибербезопасности и, по информации СМИ, бывший сотрудник Следственного комитета и выпускник вуза Минобороны Иван Глинкин научил Telegram использовать эту функцию для определения местоположения аудитории мессенджера по всему миру.
Метод получил название Close-Circuit Telegram Vision» (CCTV). Его исходный код доступен на GitHub. CCTV наносит на глобальную карту местоположение пользователей мессенджера, у которых включена функция «Люди рядом». По словам Глинкина, она защищена от такого рода злоупотреблений, но защищена недостаточно. Журналисты 404 Media воспользовались инструкцией с GitHub и убедились в этом лично.
Один из них попросил соучредителя портала воспользоваться функцией «Люди рядом» и показать людей, которых она «заметила». Затем, находясь далеко от коллеги, журналист использовал CCTV по его координатам. И в итоге списки совпали. То есть уязвимость заставляет Telegram думать, что пользователь находится там, где он на самом деле не находится, и сканировать любые координаты на наличие людей с включённой функцией «Люди рядом».
Точность определения местоположения составляет 800 метров. По словам Глинкина, CCTV работает на базе API Telegram, который связан с функцией «Люди рядом», и в качестве входных данных принимает широту и долготу. Введённые координаты становятся «местоположением» пользователя (но без подмены GPS), поэтому Telegram на их основе показывает координаты других людей, находящихся недалеко от выбранной точки.
