Telegram ma wadę. Odrobina sprytu pozwala "śledzić" użytkowników

Telegram, często podawany jako przykład bezpiecznego komunikatora, nie jest pozbawiony wad - wynika z publikacji Zaufanej Trzeciej Strony. Jak się okazuje, wbudowana w aplikację funkcja "Znajdź ludzi w pobliżu" może być wykorzystana w nieetyczny sposób, by na swój sposób śledzić użytkowników.

Szukanie ludzi w pobliżu to opcja, która pozwala użytkownikom Telegramu skontaktować się z nieznajomymi, którzy wyrazili zgodę na dostęp do lokalizacji i znajdują się fizycznie blisko danego użytkownika - tłumaczy Zaufana Trzecia Strona. Chociaż sam zainteresowany nie widzi lokalizacji użytkowników na mapie, siłą rzeczy jest ona w jakiś sposób rejestrowana po stronie serwera, aby odpowiednio proponować rozmówców pozostałym użytkownikom Telegramu. Okazuje się jednak, że informacje o lokalizacji innych można odczytać i to stosunkowo łatwo.

Swego rodzaju słabym punktem tego rozwiązania okazuje się bowiem API udostępnione przez Telegram, z użyciem którego da się korzystać z dodatkowych opcji związanych z lokalizacją. Jak podaje ZTS, na GitHubie można z kolei znaleźć kod oprogramowania Close-Circuit Telegram Vision, po skonfigurowaniu którego w parze z API Telegramu można wyświetlić na mapie użytkowników aplikacji z dokładnością do 150 metrów. Pokazywani są w formie ikon na mapie OpenStreetMap.

Teoretycznie na tym etapie trudno mieć pretensje do Telegramu, że taka możliwość istnieje, zwłaszcza, że jest wynikiem działania oficjalnego API, a użytkownicy aplikacji świadomie zgadzają się na udostępnianie informacji o lokalizacji na potrzeby działania funkcji znajdowania pobliskich rozmówców. ZTS widzi jednak w tym rozwiązaniu duży potencjał dla oszustów, którzy chcieliby wykorzystać informacje o użytkownikach zebrane w ten sposób na przykład do typowego phishingu.

Dalsza część artykułu pod materiałem wideo

Dodatkową wadą Telegramu w tym zakresie jest fakt, że do użytkowników mogą odzywać się do co do zasady dowolne osoby, a po wykupieniu dostępu premium i tak nie można odciąć się od kontaktu innych, którzy również taki dostęp wykupili. Innymi słowy stosunkowo niewielkim kosztem można uruchomić mechanizm, który pozwala zautomatyzować kontaktowanie się z osobami, które wcale na ten kontakt nie liczą. Późniejsze realizowanie phishingu w standardowy sposób, choćby po przesłaniu spreparowanego linku, to już formalność.