Si está utilizando un dispositivo Android, o en algunos casos un iPhone, la aplicación de mensajería Telegram facilita que los piratas informáticos encuentren su ubicación precisa cuando habilita una función que permite que los usuarios que están geográficamente cerca de usted se conecten. El investigador que descubrió la vulnerabilidad de divulgación y la informó en privado a los desarrolladores de Telegram dijo que no tienen planes de solucionarlo.
El problema se debe a una función llamada Personas cercanas. De forma predeterminada, está desactivado. Cuando los usuarios lo habilitan, su distancia geográfica se muestra a otras personas que lo tienen activado y están en (o están falsificando) la misma región geográfica. Cuando se usa Personas cercanas según lo diseñado, es una función útil con pocas o ninguna preocupación por la privacidad. Después de todo, una notificación de que alguien está a 1 kilómetro o 600 metros de distancia todavía deja a los acosadores adivinando dónde, precisamente, estás.
Acechar simplificado
Investigador independiente Ahmed Hassan, sin embargo, ha demostrado cómo se puede abusar de la función para divulgar exactamente dónde se encuentra. Usando software fácilmente disponible y un dispositivo Android rooteado, puede falsificar la ubicación que su dispositivo informa a los servidores de Telegram. Al usar solo tres ubicaciones diferentes y medir la distancia correspondiente informada por Personas cercanas, puede identificar la ubicación precisa de un usuario.
Telegram permite a los usuarios crear grupos locales dentro de un área geográfica. Hassan dijo que los estafadores a menudo falsifican su ubicación para bloquear dichos grupos y luego vender falsas inversiones en bitcoins, herramientas de piratería, números de seguridad social robados y otras estafas.
“La mayoría de los usuarios no comprenden que están compartiendo su ubicación y quizás su dirección particular”, escribió Hassan en un correo electrónico. “Si una mujer usó esa función para chatear con un grupo local, puede ser acosada por usuarios no deseados”.
Un video de prueba de concepto que el investigador envió a Telegram mostró cómo podía discernir la dirección de un usuario de People Near cuando usaba una aplicación de suplantación de GPS gratuita para hacer que su teléfono informara solo tres ubicaciones diferentes. Luego dibujó un círculo alrededor de cada una de las tres ubicaciones con un radio de la distancia informada por Telegram. La ubicación precisa del usuario era donde se cruzaban los tres.
Hassan pidió que no se publicara el video. La siguiente captura de pantalla, sin embargo, da una idea general.
Ahmed Hassan
Arreglando el problema
en un entrada en el blog, Hassan incluyó un correo electrónico de Telegram en respuesta al informe que les había enviado. Señaló que Personas cercanas no está habilitado de forma predeterminada y que “se espera que sea posible determinar la ubicación exacta bajo ciertas condiciones”.
Los representantes de Telegram no respondieron a un correo electrónico en busca de comentarios.
People Near representa la mayor amenaza para las personas que usan dispositivos Android, ya que informan la ubicación de un usuario con suficiente granularidad para que el ataque de Hassan funcione. El iOS 14 recientemente lanzado, por el contrario, permite a los usuarios divulgar solo una aproximación aproximada de su ubicación. Las personas que usan esta función no están tan expuestas.
Solucionar el problema, o al menos hacer que sea mucho más difícil explotarlo, no sería difícil desde una perspectiva técnica. Redondear las ubicaciones a la milla más cercana y agregar algunos bits aleatorios generalmente es suficiente. Cuando la aplicación Tinder tenía una vulnerabilidad de divulgación similar, los desarrolladores utilizaron este tipo de técnica para solucionarlo.
Las consecuencias de privacidad de la función Personas cercanas de Telegram son un buen recordatorio de que a menudo se pueden abusar de las funciones de formas que no son contempladas por las personas que las desarrollan. Los usuarios que deseen mantener la privacidad de su paradero deben sospechar de los servicios basados en la ubicación e investigar antes de instalarlos o activarlos.