domingo, 10 de enero de 2021

Compartir la ubicación de Telegram no es tan privada como te gustaría

 Telegram dice que no es un bug, es una característica (it's a feature). ¿Fallo? No, Telegram expone la ubicación precisa de sus usuarios es una función que funciona como 'se esperaba'. La aplicación de mensajería hace que compartir en exceso inadvertidamente sea demasiado fácil



A un investigador que señaló que el uso de la función "Personas cercanas" de la popular aplicación de mensajería Telegram expuso la ubicación exacta del usuario, se le dijo que está funcionando como se esperaba. Las personas que activan esta función ven una lista de otros usuarios a unas pocas millas para "agregar rápidamente personas cercanas ... y descubrir chats grupales locales".

Usando una utilidad que falsifica la ubicación de un dispositivo Android, Ahmed Hassan pudo descubrir la distancia de las personas desde tres puntos diferentes y luego usar la trilateración para identificar exactamente dónde estaban. Pudo recuperar las direcciones exactas de su domicilio mediante este método, que no es técnicamente difícil.

Hassan informó sobre el problema con la esperanza de obtener una recompensa por error y solo se le dijo: "Los usuarios de la sección Personas cercanas comparten intencionalmente su ubicación y esta función está desactivada de forma predeterminada. Se espera que sea posible determinar la ubicación exacta en determinadas condiciones".

"Si habilita la función de hacerse visible en el mapa, estará publicando su dirección particular en línea. Muchos usuarios no saben esto cuando habilitan esa función", dijo Hassan.

También cree que existe un problema generalizado con usuarios malintencionados que falsifican su ubicación, se unen a grupos locales y envían spam a los usuarios con inversiones falsas en Bitcoin u otros fraudes; evidencia, afirma, de una aplicación deficiente de seguridad.

En sus preguntas frecuentes, Telegram afirma ser "más seguro que los mensajeros del mercado masivo como WhatsApp y Line" según sus protocolos de seguridad, pero no aborda los riesgos de los usuarios malintencionados.

El uso compartido de la ubicación de Telegram no es tan privado como te gustaría

  •     La función "Personas cercanas" de Telegram podría revelar tu ubicación.
  •     Solo necesitaría herramientas de GPS y triangulación para determinar dónde vive alguien.
  •     Telegram ha dicho que la funcionalidad no necesita arreglarse.


Telegram aparentemente se centra en la privacidad, pero su enfoque para compartir la ubicación está generando algunas preocupaciones. El usuario Ahmed, consciente de la seguridad, advirtió que la función "Personas cercanas" de la aplicación de mensajería expone ubicaciones en línea de una manera que determinados observadores podrían encontrar.

Si bien la función de Telegram solo muestra la distancia entre usted y otros usuarios, no es difícil obtener datos de ubicación más exactos. Puede usar un dispositivo de suplantación de GPS, rootear su teléfono (nuevamente para suplantar el GPS) o incluso caminar para triangular posiciones. Después de eso, solo es cuestión de ingresar las coordenadas en una herramienta de mapeo para obtener la dirección.

De hecho, estás "publicando tu dirección particular en línea", dijo Ahmed.

Según los informes, Telegram no está preocupado por las implicaciones de privacidad. Los usuarios de Personas cercanas están compartiendo "intencionalmente" sus ubicaciones, dijo la compañía, y la función no está habilitada de manera predeterminada. Se "espera" que pueda medir la ubicación exacta en las circunstancias adecuadas, dijo el equipo de seguridad de la empresa.

Como resultado, no tendrá que preocuparse por compartir inadvertidamente su paradero. Aún así, la función de ubicación de Telegram podría crear serios problemas de privacidad para aquellos que no saben cómo funciona. Podría usarse para acosar o acechar a personas que solo piensan que comparten distancias relativas. No active Personas cercanas si le preocupa seriamente que alguien pueda rastrearlo, incluso si la probabilidad de que alguien aproveche esta función no es particularmente alta.


Hace unos años, mientras usaba la aplicación Line, noté una función llamada "Personas cercanas". La función le permite conectarse con otros usuarios de Line dentro de la misma área. La función le daría la distancia exacta entre usted y los demás usuarios. Si alguien falsifica su latitud, longitud, puede triangular a un usuario y encontrar su ubicación. Informé de un problema en la aplicación Line y me pagaron $ 1000 por ello. Lo arreglaron agregando un número aleatorio al destino del usuario.


Hace unos días instalé Telegram y noté que tienen la misma función. Traté de ver si podía desenmascarar las ubicaciones de otros usuarios y descubrí que tenían el mismo problema que descubrí en la aplicación Line hace unos años. Informé el problema a la seguridad de Telegram y dijeron que no era un problema. Si habilita la función de hacerse visible en el mapa, estará publicando su dirección particular en línea. Muchos usuarios no saben esto cuando habilitan esa función. Esto es lo que dijeron cuando les envié un correo electrónico:


    De: security@telegram.org

    Hola,

    Gracias por contactarnos. Usuarios en la sección Personas cercanas

    compartir intencionalmente su ubicación, y esta función está deshabilitada por

    defecto. Se espera que sea posible determinar la ubicación exacta

    bajo ciertas condiciones.

    Desafortunadamente, este caso no está cubierto por nuestro programa de recompensas por errores.

Cronograma de divulgación:

  • Contacté a Telegram el 22 de diciembre con todos los detalles sobre cómo explotar la información.
  • Respondieron el 23 de diciembre; me pidieron que creara un video del PoC 🙄
  •  Hice un video el mismo día y se lo envié.
  • Respondieron después de 14 días, diciendo que su programa de recompensas por errores no cubre el problema.


Entonces, así es como funciona en detalle:

Abra Telegram y vaya a las personas cercanas a mí, hay una opción para ver qué tan lejos están las personas de su ubicación.

Después de hacer clic en él, se mostrará una lista de personas cercanas a usted como la siguiente:




Si te fijas, Telegram me está diciendo qué tan lejos está cada persona de mí. Un adversario puede falsificar su ubicación por tres puntos y usarlos para dibujar tres círculos de triangulación. Para falsificar una ubicación GPS, el adversario puede optar por una de las siguientes opciones:



  • 1-Use hardware GPS spoofer (muy difícil de conseguir, y la FCC lo multará si usa tal dispositivo)
  • 2-Usa root para falsificar a GPS (Medio)
  • 3-Simplemente camine por el área, recopile la latitud y longitud del GPS de usted mismo y qué tan lejos está la persona objetivo de usted (súper fácil)


Por el bien de la demostración, elegiré la opción número dos. Hay una aplicación en Play Store llamada GPS spoof; descárgalo e instálalo. Por alguna razón, la aplicación no funciona con Android 11; En su lugar, usé Android 7. Después, recolecta 3 ubicaciones de un usuario para desenmascarar.


4-Simula la ubicación cerca del usuario dentro de un límite de radio de 7 millas. Ese es el límite que tiene Telegram. El usuario objetivo vive en Bay Ridge, así que falsifiqué la dirección del área de Bay Ridge. Luego, recopile qué tan lejos está esa persona de ese punto. Repite tres veces como sigue:





 




5-Abre Google Earth Pro, busque la latitud, la longitud de las ubicaciones falsificadas y use la regla para dibujar un círculo con el destino del usuario objetivo de cada ubicación. Aquí está el resultado:




La intersección de los tres círculos es la ubicación del usuario. Para verificar esto, agregué a uno de los usuarios y les pregunté si vivían cerca del punto.




Pude obtener la dirección residencial exacta de ese usuario.


Telegram me dijo que no es un problema. Si utiliza esta función, asegúrese de desactivarla. A menos que desee que todos puedan acceder a su ubicación.

Desafortunadamente, la mala seguridad de las aplicaciones de Telegram puede reflejarse en la cantidad de estafadores que tienen dentro de esa función. Telegram permite a los usuarios crear grupos locales dentro de un área geográfica. Muchos estafadores falsifican su ubicación e intentan vender inversiones falsas en bitcoins, herramientas de piratería, SSN que se utilizan para fraude por desempleo, etc. La cantidad de actividades ilegales que vi allí hace que Silkroad parezca que lo dirigían aficionados.


Una vulnerabilidad en Waze permitía el seguimiento en tiempo real de los usuarios

Peter Gasper, un ingeniero de seguridad de TI, informó hace unos meses de una vulnerabilidad permite a los atacantes identificar a los conductores cercanos en la aplicación Waze y rastrear su ubicación en la vida real.

La vulnerabilidad existía en la API de Waze, que funcionaba de tal manera que una vez que se usaba la aplicación en un navegador web ( Livemap Waze ), el investigador podía solicitar las coordenadas de los controladores cercanos junto con los suyos propios. Este fallo no solo exponía la privacidad en tiempo real de los usuarios, sino que también ponía en riesgo su seguridad física.

Según el investigador, estas coordenadas, además de los detalles del tráfico, también contenían números de identidad únicos (UID) de cada conductor que no se veían modificados con el tiempo. 

Además, encontró un método para vincular las ID a los nombres de usuario. Si los usuarios de la aplicación Waze informaban de un obstáculo en la aplicación, por ejemplo, la API enviaba tanto el ID como el nombre de usuario a todos los usuarios de Waze en el área. Los usuarios sólo ven esa información cuando la persona que informa agrega una respuesta, pero incluso si esta no lo hace, los detalles se enviaban a través de la API.


Pavel Durov desmonta algunos Mitos de Telegram

Escuché que Facebook tiene un departamento completo dedicado a descubrir por qué Telegram es tan popular. Imagínese a decenas de empleados trabajando en eso a tiempo completo.

Estoy feliz de ahorrarle a Facebook decenas de millones de dólares y regalar nuestro secreto gratis: respetar a tus usuarios.

Millones de personas están indignadas por el último cambio en los términos de WhatsApp, que ahora dicen que los usuarios deben enviar todos sus datos privados al motor de anuncios de Facebook [1]. No es de extrañar que se haya acelerado la huida de usuarios de WhatsApp a Telegram, que ya lleva unos años en curso.

Con aproximadamente 500 millones de usuarios y creciendo, Telegram se ha convertido en un problema importante para la corporación Facebook. Incapaz de competir con Telegram en calidad y privacidad, WhatsApp de Facebook parece haber cambiado al marketing encubierto: los editores de Wikipedia han expuesto recientemente varios bots pagos que agregan información sesgada en el artículo de Wikipedia de WhatsApp [2].

También hemos detectado bots que difunden información inexacta sobre Telegram en las redes sociales. Estos son los 3 mitos que están promoviendo:

  • Mito 1. "El código de Telegram no es de código abierto". En realidad, todas las aplicaciones cliente de Telegram son de código abierto desde 2013 [3]. Nuestro cifrado y API están completamente documentados y han sido revisados ​​por expertos en seguridad miles de veces. Además, Telegram es la única aplicación de mensajería en el mundo que tiene compilaciones verificables tanto para iOS como para Android [4]. En cuanto a WhatsApp, ofuscan intencionalmente su código, haciendo imposible verificar su cifrado y privacidad.
  • Mito 2. “Telegram es ruso”. De hecho, Telegram no tiene servidores ni oficinas en Rusia y estuvo bloqueado allí desde 2018 hasta 2020 [5]. Telegram todavía está bloqueado en algunos países autoritarios como Irán, mientras que WhatsApp y otras aplicaciones "supuestamente seguras" nunca han tenido ningún problema en estos lugares.
  • Mito 3. “Telegram no está cifrado”. Todos los chats de Telegram se han cifrado desde su lanzamiento. Tenemos Secret Chats que son de un extremo a otro y Cloud Chats que también ofrecen almacenamiento en la nube distribuido y seguro en tiempo real [6]. WhatsApp, por otro lado, no tuvo cifrado durante algunos años y luego adoptó un protocolo de cifrado financiado por el gobierno de los Estados Unidos [7]. Incluso si asumimos que el cifrado de WhatsApp es sólido, se invalida a través de múltiples puertas traseras y la dependencia de las copias de seguridad [8].

Solo en 2019, Facebook gastó casi 10 mil millones de dólares en marketing [9] (supongo que esto incluye bots pagos en Wikipedia y otros sitios).

A diferencia de Facebook, Telegram no gasta dinero, y mucho menos miles de millones de dólares, en marketing. Creemos que las personas son lo suficientemente inteligentes como para elegir lo que es mejor para ellos. Y, a juzgar por los 500 millones de personas que usan Telegram, esta creencia está justificada.

Fuentes:

https://blog.ahmed.nyc/2021/01/if-you-use-this-feature-on-telegram.html

https://derechodelared.com/vulnerabilidad-waze/

No hay comentarios:

Publicar un comentario