电报在线发布用户的位置
几年前,在使用Line应用程序时,我注意到附近有一个名为" People的功能。该功能使您可以与同一区域内的其他Line用户连接。该功能将为您提供从您到其他用户的确切目的地。如果某人欺骗了他们的经度和纬度,则可以对用户进行三角剖分并找到他们的位置。我在Line应用程序中报告了一个问题,他们为此付了我1000美元。他们通过向用户的目的地添加随机数来解决此问题。你可以在这里找到我的名字。
几天前,我安装了Telegram,发现它们具有相同的功能。我试图查看是否可以取消屏蔽其他用户的身份。位置,我发现它们的问题与几年前在Line应用程序中发现的问题相同。我向电报安全性报告了该问题,他们说这不是问题。如果您的电话启用了此功能,则您正在在线发布家庭住址。许多用户在启用该功能时都不知道这一点。这是他们在我通过电子邮件发送给他们的时候所说的:
他们在12月23日做出回应;他们要求我制作PoC的视频🙄
他们在14天后做出回应,说他们的漏洞赏金计划无法解决该问题。
因此,这是它的详细工作原理:打开电报,然后走近我身边的人,可以选择查看人们离您所在位置有多远。
单击它之后,它将显示附近的人的列表,如下所示:
如果您注意到,Telegram会告诉我每个人离我有多远。对手可以欺骗其位置以获得三个点,并使用它们绘制三个三角剖分圆。为了欺骗GPS位置,对手可以执行以下操作之一:
1-使用硬件GPS防喷器(很难获得,如果使用此类设备,FCC将对您造成严重的伤害)2-使用根来欺骗GPS(中)3-只需走遍该区域,收集GPS纬度和自己的经度,以及目标人物与您的距离(超级容易)
为了演示,我将选择第二个选项。游戏商店中有一个名为GPS欺骗的应用;下载并安装。由于某些原因,该应用程序无法在Android 11上运行;我改用Android 7。之后,收集用户的3个位置以进行隐藏。
在7英里半径范围内欺骗用户附近的位置4。那就是电报的限制。目标用户住在贝里奇(Bay Ridge),所以我把地址欺骗到贝里奇(Bay Ridge)地区。然后收集那个人离那个点有多远。重复三遍,如下所示:
5-打开Google Earth Pro,搜索欺骗位置的纬度,经度,然后使用标尺从每个位置绘制一个带有目标用户目的地的圆。结果如下:
三个圆圈的交点是用户的位置。为了验证这一点,我添加了一个用户,并询问他们是否住在附近。
电报告诉我这不是问题。如果您使用此功能,请确保将其禁用。除非您希望所有人都能访问您的位置。
不幸的是,电报不良的应用程序安全性可以通过他们在该功能中拥有的骗子数量来反映。电报允许用户在地理区域内创建本地组。许多骗子欺骗了自己的位置,并试图出售假冒的比特币投资,黑客工具,用于失业欺诈的SSN等。我在那里看到的大量非法活动使《丝绸之路》看起来像是业余爱好者在运行。
