【極危險】Telegram附近的人漏洞 可找出用戶準確位置

【極危險】Telegram附近的人漏洞 可找出用戶準確位置

2021-01-08 Off By Genki

有求可以安全通訊,不少港人選擇放棄使用WhatsApp,轉而使用私隱安全度更高的即時通訊軟件Telegram。不過,如不小心打開了「附近的人(Nearby)」功能,便可被其他人計算出用戶現時身處的準確位置,人身安全極度危險!各位用戶,請即檢查Telegram設定及關閉該功能。

按此看:運動app Strava幫你追蹤陌路跑人

不少即時通訊或交友軟件,為了方便用戶認識附近的用戶,都備有「Nearby」功能,一來活動於同一社區的人會更易有共同話題,二來亦可建立「鄰居」網絡,了解更多社區內的資訊,手機應用軟件例如Telegram、WeChat亦有類似功能,但兩者卻有一些分別,Telegram會準確顯示其他用戶與你的相隔距離,WeChat則只會顯示一定範圍內的線上用戶。

Telegram附近的人漏洞 可找出用戶準確位置

啟用Nearby功能,可讓Telegram用戶找出附近有哪些用戶,方便交友。

不過,有網絡安全漏洞賞金獵人Ahmed就發現,Telegram的Nearby功能可被利用來找出用戶的準確位置。Ahmed指出由於Telegram會列出兩個用戶之間相隔的明確距離,所以他只須以Fake GPS手機應用程式,在指定用戶的7英哩範圍內製造三個虛假的衞星定位,讓Telegram以為Ahmed在短時間內身處該不同位置,而Ahmed只須在每次轉換定位前記錄與該用戶相隔的距離,經過三次定位後,他便可以三點測量法,在虛假定位點以相隔距離作半徑畫圓,最後三個圓形相交之處,便是該用戶現時身處的地點。

 

Telegram附近的人漏洞 可找出用戶準確位置

準確列出與附近用戶相隔的距離

 

Telegram附近的人漏洞 可找出用戶準確位置

以fake gps製造三個虛假衞星定位,便可得出與指定用戶三個相隔的距離,之後再於虛假定位點各以距離為半徑畫圓,相交點便是指定用戶所處位置。

Ahmed以實際行動測試,鎖定Nearby內某位用戶,通過上述方法定位後,他便於Telegram內向該用戶發出訊息,結果顯示其身處位置與Ahmed計算的無誤!事實上,Ahmed兩年前曾以相同方法測試Line的Nearby功能,結果亦與這次一樣。Line與Telegram的唯一分別,是在Ahmed舉報這項漏洞後,Line即時安排修改,並為漏洞向Ahmed支付1000美元賞金;但Telegram則回應指這項功能沒有問題,因為系統預設為關閉,其次是如用戶選擇啟用,應該預計有相關結果,最重要是這個案並不符合公司的賞金獵人計劃,所以不會有任何賞金。

按此看:Telegram被利用偷信用卡資料

各位Telegram用戶,為了保障自己的人身安全,請即時進入系統設定,檢查Nearby功能有否開啟,有的話最好即時關掉。

詳情:http://bit.ly/3s45NXs