Telegram的“附近的人”功能存在隐私漏洞

主要观点

Telegram的“附近的人”功能在启用后，可能会被黑客利用来精确获取用户的位置信息。尽管该功能默认关闭，但一旦启用，用户的地理位置数据可能会被滥用，尤其是在Android设备上。尽管研究人员已向Telegram报告了这一问题，但Telegram表示目前没有修复计划。

关键信息

1. 功能描述：

   • “附近的人”功能允许用户与地理位置相近的人建立联系。启用后，用户的地理距离会显示给其他同样启用了该功能的人。
   • 正常情况下，该功能显示的距离信息（如1公里或600米）并不会暴露用户的具体位置。

2. 漏洞利用：

   • 独立研究员Ahmed Hassan发现，通过使用常见的软件和已root的Android设备，黑客可以伪造设备的位置信息，并通过“附近的人”功能精确计算用户的具体位置。
   • 通过伪造三个不同的位置并测量Telegram报告的距离，黑客可以使用三角定位法确定用户的精确位置。

3. 潜在风险：

   • 该功能可能被用于跟踪、骚扰或其他恶意行为。例如，黑客可以伪造位置加入本地群组，推销虚假投资或非法商品。
   • 尤其是女性用户，若使用该功能与本地群组聊天，可能会被不怀好意的人跟踪。

4. 技术细节：

   • Android设备报告的位置信息足够详细，使得这种攻击成为可能。相比之下，iOS 14仅允许用户分享大致位置，降低了风险。
   • 从技术角度来看，修复该漏洞并不困难。例如，将位置信息四舍五入到最近的英里数，并添加随机数据即可。

5. Telegram的回应：

   • Telegram在回复Hassan的邮件中表示，“附近的人”功能默认关闭，且“在某些条件下确定精确位置是可能的”。
   • Telegram未对进一步评论请求作出回应。

重要细节

• Hassan通过实验证明，仅需伪造三个位置并绘制三个圆，其交点即为用户的精确位置。
• Telegram的隐私漏洞提醒用户，基于位置的服务可能会以开发者未预料到的方式被滥用。

总结

Telegram的“附近的人”功能虽然在某些场景下有用，但存在被滥用的风险，尤其是在Android设备上。用户应谨慎使用基于位置的服务，并在启用前充分了解其潜在风险。尽管从技术角度修复该漏洞并不复杂，但Telegram目前尚未采取行动。