Telegram: la localisation exacte des usagers est exposée

0

Une fonctionnalité qui permet aux utilisateurs de Telegram de voir qui se trouve à proximité peut être utilisée à mauvais escient pour déterminer votre distance exacte par rapport aux autres utilisateurs.

Selon Ahmed Hassan, le chasseur de bogues, la fonction «Personnes à proximité» pourrait permettre à un pirate informatique de trianguler l’emplacement d’utilisateurs de Telegram leur insu. La fonctionnalité est désactivée par défaut, mais comme Hassan l’a souligné, «les utilisateurs qui activent cette fonctionnalité ne savent pas qu’ils partagent essentiellement leur emplacement précis.»

La fonctionnalité répertorie exactement la distance entre les personnes (1,3 km, etc.). Ce n’est pas un problème tant que ce nombre reste un rayon. Mais il est possible d’utiliser une position en 3 dimensions, puis d’utiliser les trois points résultants pour localiser précisément où se trouve une cible, a découvert le chercheur.

Telegram

Pour usurper une position GPS, un adversaire a différentes options, mais la méthode la plus simple, a expliqué Hassan dans un article de blog, consiste à «simplement marcher dans la zone, collecter votre latitude et votre longitude GPS, et déterminez à quelle distance se trouve la personne ciblée (super facile). »

Une autre option consiste à utiliser une application d’usurpation de GPS.

«Il existe une application dans la boutique [Google Play] appelée GPS spoof; téléchargez-la et installez-la », a-t-il expliqué. «Après [cela]… usurpez l’emplacement près de l’utilisateur dans un rayon de 11 kilomètres. C’est la limite que Telegram a en place… puis déterminez la distance entre cette personne et ce point. Répétez trois fois. »

Armé des trois localisations, un attaquant peut ensuite ouvrir Google Earth Pro, entrer les emplacements usurpés et utiliser une règle pour trouver le point médian entre les trois.

«L’intersection des trois points est l’emplacement de l’utilisateur», a expliqué Hassan. «Pour vérifier cela, j’ai ajouté l’un des utilisateurs et leur ai demandé s’ils habitaient près du point. J’ai pu obtenir l’adresse exacte du domicile de cet utilisateur. « 

Du côté de Telegram, la société a déclaré qu’elle ne considérait pas le problème comme un bug et a refusé le rapport de sécurité de Hassan.

google earth telegram triangulation

Telegram ne compte pas agir

«Les utilisateurs de la section ‘Personnes à proximité’ partagent intentionnellement leur position, et cette fonctionnalité est désactivée par défaut», a répondu Telegram, selon le chercheur. «On s’attend à ce que la détermination de l’emplacement exact soit possible sous certaines conditions. Malheureusement, ce cas n’est pas couvert par notre programme bug-bounty. »

Pour y remédier, l’entreprise pourrait arrondir les emplacements des utilisateurs au kilomètre le plus proche « et ajouter un bruit aléatoire statique », a déclaré Hassan. « Tinder a eu le même problème et ils l’ont résolu en créant des buckets. »

Si cet article vous a plu, jetez un œil à notre article précédent.

Laisser un commentaire