Telegram ma wadę. Odrobina sprytu pozwala "śledzić" użytkowników
Telegram, często podawany jako przykład bezpiecznego komunikatora, nie jest pozbawiony wad - wynika z publikacji Zaufanej Trzeciej Strony. Jak się okazuje, wbudowana w aplikację funkcja "Znajdź ludzi w pobliżu" może być wykorzystana w nieetyczny sposób, by na swój sposób śledzić użytkowników.
Szukanie ludzi w pobliżu to opcja, która pozwala użytkownikom Telegramu skontaktować się z nieznajomymi, którzy wyrazili zgodę na dostęp do lokalizacji i znajdują się fizycznie blisko danego użytkownika - tłumaczy Zaufana Trzecia Strona. Chociaż sam zainteresowany nie widzi lokalizacji użytkowników na mapie, siłą rzeczy jest ona w jakiś sposób rejestrowana po stronie serwera, aby odpowiednio proponować rozmówców pozostałym użytkownikom Telegramu. Okazuje się jednak, że informacje o lokalizacji innych można odczytać i to stosunkowo łatwo.
Swego rodzaju słabym punktem tego rozwiązania okazuje się bowiem API udostępnione przez Telegram, z użyciem którego da się korzystać z dodatkowych opcji związanych z lokalizacją. Jak podaje ZTS, na GitHubie można z kolei znaleźć kod oprogramowania Close-Circuit Telegram Vision, po skonfigurowaniu którego w parze z API Telegramu można wyświetlić na mapie użytkowników aplikacji z dokładnością do 150 metrów. Pokazywani są w formie ikon na mapie OpenStreetMap.
Teoretycznie na tym etapie trudno mieć pretensje do Telegramu, że taka możliwość istnieje, zwłaszcza, że jest wynikiem działania oficjalnego API, a użytkownicy aplikacji świadomie zgadzają się na udostępnianie informacji o lokalizacji na potrzeby działania funkcji znajdowania pobliskich rozmówców. ZTS widzi jednak w tym rozwiązaniu duży potencjał dla oszustów, którzy chcieliby wykorzystać informacje o użytkownikach zebrane w ten sposób na przykład do typowego phishingu.
Dalsza część artykułu pod materiałem wideo
Dodatkową wadą Telegramu w tym zakresie jest fakt, że do użytkowników mogą odzywać się do co do zasady dowolne osoby, a po wykupieniu dostępu premium i tak nie można odciąć się od kontaktu innych, którzy również taki dostęp wykupili. Innymi słowy stosunkowo niewielkim kosztem można uruchomić mechanizm, który pozwala zautomatyzować kontaktowanie się z osobami, które wcale na ten kontakt nie liczą. Późniejsze realizowanie phishingu w standardowy sposób, choćby po przesłaniu spreparowanego linku, to już formalność.
Oskar Ziomek, redaktor prowadzący dobreprogramy.pl