Как отследить геолокацию через телеграмм
Как Telegram позволяет определять координаты пользователей
Telegram, как и любой достаточно старый сервис, скрывает в себе массу неявных функций. О некоторых из них мы знаем, а о некоторых нет, но в большинстве случаев спорить об их полезности не приходится. Ведь если разработчики сочли нужным добавить тот или иной программный инструмент, значит, видели в этом смысл и заранее продумали сценарии его применения. Другое дело, что иногда вполне привычные функции оказываются совсем не тем, за что себя выдают, или, по крайней мере, чем-то более глубоким. Как, например, уже не новая функция «Люди поблизости».
Telegram позволяет определять реальное местоположение людей, использующих функцию «Люди поблизости»
Telegram потребовал у Еврокомиссии разрешить альтернативы App Store
Функция «Люди поблизости» появилась в Telegram около года назад и предназначалась для поиска людей поблизости, с которыми можно пообщаться. Мессенджер определял местоположение каждого человека, который подключал у себя эту функцию, и сообщал пользователям, как далеко они находятся друг от друга, не раскрывая конкретных координат. Таким образом Telegram мог бы стать не просто средством общения, но и связующим звеном между соседями, жителями одного района или людьми, работающими в одном месте. Но, как оказалось, эту функцию можно было использовать для самой настоящей слежки.
Люди поблизости в Telegram
Определить местоположение можно при помощи искусственной триангуляции
Несмотря на то что по умолчанию Telegram показывает только расстояние, на котором от вас находятся пользователи, согласившиеся на использовании функции «Люди поблизости», при помощи специального софта можно выяснить реальные координаты каждого из них. Достаточно скачать приложение Fake GPS, подделывающее координаты вашего местоположения, и отметиться в трёх точках в радиусе 1-10 километров (в зависимости от того, как далеко от вас находится искомый пользователь) таким образом, получился треугольник.
Что почитать в Telegram? Подборка каналов на разные темы
После этого нужно ввести координаты трёх точек, образующих треугольник, в приложении Google Earth Pro и нарисовать вокруг них круги так, чтобы их радиус соответствовал выбранному на первом этапе радиусу. В месте пересечения этих трёх кругов и будет находиться человек, которого вы ищете. Далее – дело техники: приблизить карту и отыскать того, кто вам нужен, или не искать, если всё было проделано из праздного интереса. Тут уж дело хозяйское. В конце концов, никто не знает, с какой целью вы вообще ищете незнакомых людей через одну из функций Telegram.
Уязвимости в Telegram
Нарисовав круги нужного радиуса, вы сможете выявить местоположение искомого человека
На самом деле манипуляция по выявлению конкретного человека через функцию «Люди поблизости» не так уж и сложна, чтобы пренебрегать ей. Ведь, по сути, это и есть триангуляция, и даже если подавляющее большинство людей не станут определять координаты пользователей, найденных в Telegram, сам факт того, что такая возможность есть, может вселить некоторую неуверенность за свою безопасность в головы многих людей. Всё-таки, я уверен, мало кто захочет разглашать место своего пребывания незнакомым людям, способным на голом энтузиазме разыскать и наведаться в гости.
В Telegram появились голосовые чаты в группах и редактор фото. Как их включить
Впрочем, в службе безопасности Telegram считают, что никакого нарушения конфиденциальности в работе функции «Люди поблизости» нет. По словам разработчиков, возможность отыскать человека по геопозиции была ожидаемой с учётом особенностей работы функции и не может считаться ни багом, ни тем более уязвимостью. Как это соотносится со статусом Telegram как одного из – если не самого – безопасных мессенджером в мире, сказать сложно. Но, очевидно, что разработчикам всё-таки следует внести какие-то коррективы в работу этой функции.
Геопозиция в Телеграм — ТОП-3 фишки и инструкция по использованию
С момента выпуска обновления Телеграм версии 4.4 пользователи мессенджера могут отправлять друг другу свою геолокацию (геопозицию). Новая функция Live Location не только поможет поделиться местоположением, но и позволит собеседнику ежесекундно отслеживать ваши перемещения — при помощи функции трансляции. О том, как скинуть геопозицию и как транслировать ее в Телеграм — читайте далее.
Чем полезна возможность делиться местоположением
Функция передачи местоположения может не раз выручить вас в ситуациях, когда нужно срочно объяснить человеку, где вы находитесь.
С ее помощью собеседник сможет с точностью до метра определить ваши текущие координаты.
Особенно полезна эта функция на массовом мероприятии или при попадании на незнакомую территорию, где вы не ориентируетесь.
Больше не придется искать ориентиры, чтобы объяснить, где вы, ровно как и пытаться перекричать музыкантов на концерте, рассказывая собеседнику, у какого входа вы стоите.
Live Location сильно упростил жизнь пользователям Телеграм. Причем передача местоположения происходит мгновенно. Если у вас, конечно, нет проблем с интернетом.
Поделиться своими координатами можно только со смартфона.
Как отправить геолокацию в Телеграм
Чтобы поделиться геолокацией в Телеграм, вам нужно выполнить всего 5 шагов:
Открыть мессенджер Телеграм.
Выбрать чат с тем человеком, с которым собираетесь поделиться геолокацией.
Нажать на значок скрепки в углу чата.
Выбрать в Телеграм параметр «Геопозиция».
Нажать на пункт «Отправить геопозицию».
Куда Телеграм сохраняет все файлы? Вы можете узнать ответ в нашей специальной статье.
Как транслировать геопозицию в Телеграм
Трансляция местонахождения позволит не только поделиться своим местоположением с человеком, но и дать ему возможность отслеживать ваши передвижения в течение выбранного периода времени.
Запустить трансляцию геопозиции в Телеграм для одного пользователя можно максимум на 8 часов.
Как поделиться трансляцией геолокации:
Зайдите в Телеграм.
Нажмите на значок скрепки.
Выберите параметр «Геопозиция».
Нажмите «Транслировать геопозицию».
Выберите подходящее время трансляции — 15 минут, час или 8 часов.
Вы умеете отправлять голосовые сообщения? Подробно, как это делать мы рассказали в этой статье.
Полезные плюшки геолокации в Телеграм
Есть 3 полезных особенности, которые могут расширить ваши возможности при передаче местоположения другому человеку:
Самостоятельное определение местоположения — если вы точно знаете, что через какое-то время переместитесь в другое место, тогда можно переместить красную метку на карте и отправить собеседнику координаты будущей геопозиции.
Выбор периода live-трансляции — вы можете дать возможность человеку отслеживать ваше местоположение в течение 8 часов.
Можно поделиться адресом одного из ближайших заведений — вам будет доступен готовый список мест, которые находятся рядом.
Как настроить или удалить геолокацию
Предоставленную геолокацию можно рассматривать в трех разных режимах:
Чтобы выбрать подходящий режим, нужно перейти в геопозицию, которую отправил вам пользователь. Дальше в зависимости от того, смартфон у вас на базе Android или iOS, вы нажимаете или на три точки в правом верхнем углу, или на буковку « i ».
Транслировать свою геолокацию можно сразу нескольким людям. Информация о нынешних трансляциях будет отображаться над общим списком чатов.
Удаление геолокации
Удалить отправленную геолокацию так же просто, как и обычное сообщение. Нажимаете в (зажимаете на iOS) область пересланного местоположения и выбираете действие «Удалить».
Итак, вы разобрались, как скинуть свою геолокацию собеседнику. Пора узнать еще что-нибудь новенькое по использованию Телеграм.
Кстати, вы знаете, как понять, что вас заблокировал другой пользователь? Подробно эту тему мы разобрали в другой нашей специальной статье. Прочтите ее!
Геолокация в Telegram: скрытые возможности
В обновлении 4.4 в Телеграм появилась функция Live Location, позволяющая отправлять геолокацию (или кто-то говорит геопозиция) в Телеграм и включать трансляцию месторасположения в реальном времени.
Геолокация может пригодиться в ряде ситуаций, когда нужно быстро определить текущие координаты. Очень удобно воспользоваться геопозицией в случае массового мероприятия: вместо долгих объяснений и ответов на вопросы а-ля «ты где?» достаточно чекнуть с помощью Телеграм местоположение и отправить его собеседнику.
Геолокация в Телеграм запускается в 3 клика:
Топ-3 плюшек геолокации в Телеграм
1. Самостоятельный выбор места для отправки
Вы можете сами определить точку на карте, которая будет отправлена. Для этого достаточно просто перенести красную метку в нужное место.
Если же вы передумали, и хотите отправить точную геопозицию кому-либо в Телеграм, вы можете быстро вернуться к своей дислокации. Для этого нажмите на кружок, отмеченный на скриншоте ниже — и красная «иголка» вернется в исходную точку.
Нажмите на отмеченную кнопку, чтобы Телеграм снова вернулся в точку, в которой в находитесь в настоящий момент
2. Транслирование геолокации
Live Location позволяет не только единоразово отправить свою геопозицию, но и при желании включить ее транслирование в заданном временном промежутке — ваш собеседник будет следить за вашим передвижением в течение 15 минут, одного или восьми часов прямо в Telegram.
Определить этот период можно сразу после нажатия на пункт «Транслировать мою геопозицию».
Выберите период, в течение которого собеседник сможет видеть ваше местоположение в Telegram
3. Выбор из готового списка
Если нажать на надпись внизу экрана «Потяните, чтобы выбрать место», откроется список из разнообразных локаций поблизости. Данные подтягиваются из Foursquare.
В Телеграм внедрили интересную возможность отправки локации из готового списка — просто потяните вверх, чтобы открыть его
Настройка и удаление геолокации
Полученные данные о геолокации можно просматривать на карте, со спутника или в гибридном режиме. Чтобы переключить вариацию отображения, нажмите на три точки в верхней правой части экрана.
Тапните на «меню трех точек» сверху в правом углу Telegram, чтобы выбрать подходящий вариант отображения карты
Кстати, если вы начнете транслировать сразу в несколько чатов, вверху общего перечня диалогов появится об этом уведомление. Тапните на него, чтобы просмотреть чаты, в которые вы отправляете геолокацию в режиме реального времени.
Управляйте трансляциями, нажав на верхнюю строчку в общем списке чатов
Удаление геопозиции идентично удалению обычного сообщения в Телеграм: тапните на область рядом с отправленное местоположение и выберите пункт «Удалить».
Баг? Нет. Telegram раскрывает точное местоположение своих пользователей
В одном из обновлений Telegram, появилась функция «Люди поблизости», с помощью которой пользователи могут найти других пользователей поблизости для создания совместного чата.
Используя служебную программу, которая имитирует местоположение устройства Android, исследователь смог определить расстояние до людей из трех разных точек, а затем использовать трилатерацию, чтобы точно определить, где они находятся. Исследователь смог получить точные домашние адреса с помощью данного метода, что технически не сложно.
Эксперт сообщил об этой проблеме разработчикам в надежде получить награду за обнаруженный баг, но ему отказали, сообщив:
«Пользователи в разделе «Люди поблизости» намеренно сообщают свое местоположение, и эта функция по умолчанию отключена. Предполагается, что определение точного местоположения возможно при определенных условиях».
«Если вы активируете функцию отображения своего местоположения на карте, вы публикуете свой домашний адрес в Интернете. Многие пользователи не знают об этом, когда включают данную функцию», – говорит исследователь.
Он также считает, что существует широко распространенная проблема, когда злоумышленники подделывают свое местоположение, присоединяются к местным группам и рассылают пользователям спам или используют другие виды мошенничества, что, по его утверждению, свидетельствует о плохой безопасности приложений.
В часто задаваемых вопросах Telegram утверждает, что он «более безопасен, чем другие популярные мессенджеры, такие как WhatsApp и Line», благодаря использованию своих протоколов безопасности, но не учитывает риски со стороны злоумышленников.
Подобные проблемы с местоположением возникали и раньше с другими приложениями. Исследователь обнаружил ту же уязвимость в приложении для обмена сообщениями Line, которое, по его словам, «они исправили, добавив случайное число в пункт назначения пользователя».
Telegram мог бы стать лучше. Редакция The Register установила Telegram на устройство Android и обнаружила, что включение функции «Люди поблизости» и выбор «Показать ваш профиль» отображает предупреждение о том, что «находящиеся поблизости пользователи смогут просматривать ваш профиль и отправлять вам сообщения. Это может помочь вам найти новых друзей, но также может привлечь чрезмерное внимание «.
В нем не сообщается, что незнакомцы с небольшим количеством “продвинутых программ” могут легко узнать, где вы живете. Ни в вышеупомянутом FAQ, ни даже в техническом FAQ «для технически подкованных» об этом не говорится. Основное внимание, как и раньше, уделяется использованию шифрования.
Раскрытие номера телефона и геолокации через уязвимость в Телеграме
Последнее время в Telegram все чаще обсуждаются темы пробива людей и утечек персональных данных. Мне стало интересно, а насколько сама экосистема Telegram устойчива к подобным утечкам.
Под катом история о том, как я нашел баг в Telegram. Баг позволяет ввести в заблуждение пользователя, и подтолкнуть его неосознанно поделиться своими данными — геолокацией и номером телефона.
Вот как это работает:
Сложность системы всегда была врагом безопасности.
Telegram вырос, уже перестал быть просто мессенджером, и дорос до большой медиа платформы с богатым функционалом. Отдельным особняком стоит Telegram Bot API, позволяющее выстраивать целые приложения внутри мессенджера — так называемых ботов.
Скорее всего каждый, кто пробовал создать своего бота, уже знает, что пользователю можно отправить запрос его номера телефона с помощью специальной кнопки.
Текст на этой кнопке можно задать любой. Причём такие же кнопки бот может использовать и для других взаимодействий:
После нажатия на кнопку, пользователю конечно же будет показано предупреждение что сейчас его контакт будет отправлен боту:
Это сообщение довольно однозначно говорит о риске деанонимизации, и предостерегает вдумчивого пользователя от опасных для него действий.
Перебирая обновления API, я вспомнил, что в какой-то момент Telegram дал пользователям возможность делать собственные локализации мессенджера. Были примеры, когда локализацию использовали для шуточных переделок интерфейса. В тот момент мне пришла в голову та же мысль, что и возможно вам сейчас:
А что, если попробовать “шуточно перевести” диалоговое окно, предупреждающее пользователя о передаче номера телефона боту, заменив его текст?
Вначале я думал, что заставить пользователя установить в приложение посторонний xml файл-локализацию будет намного сложнее, чем просто убедить кликнуть на Share contact. Ведь именно так, с помощью xml файла, Telegram предлагал распространять свои локализации среди собеседников.
Так я думал, пока не наткнулся в исходных кодах android приложения на обработчик ссылок setlanguage.
Оказалось, что в Telegram уже давно сделали платформу переводов, translations.telegram.org, доступную для всех пользователей Telegram, и теперь не нужно передавать никаких xml файлов.
Достаточно кликнуть по ссылке t.me/setlanguage/%lang%, после чего пользователь увидит диалоговое окно с запросом установки нового языка. И это окно значительно менее отпугивающее, чем сообщение о запросе номера телефона:
Как это работает?
Добавляем свой язык, переводим нужные нам элементы интерфейса и еще парочку других.
В локализации можно писать все что угодно. Мы напишем безобидный текст вместо ужасного предупреждения о расшаривании геолокации и номера телефона. Проделываем тоже самое для остальных платформ.
Наш ядовитый язык готов. Осталось подсунуть его пользователю.
Мне так и не удалось найти способ узнать установил ли пользователь предложенную ему локализацию. Не нашлось ни статистики языка на translations.telegram.org, ни изменений в профиле пользователя. Bot api позволяет узнать язык пользователя через параметр language_code, но его значение берется из системных настроек. Смена языка в приложении на параметр никак не влияет.
Что ж, тогда просто добавляем небольшую задержку после сообщения с ссылкой на язык. После выбора языка предлагаем пользователю ознакомиться с меню бота. При нажатии Ок в данном диалоговом окне, номер утекает к боту сообщением, а бот это сообщение тут же удаляет. Если бот будет использовать webhook для получения обновлений, то сообщение удаляется быстрее и пользователь возможно и не поймет что он только что отправил свой контакт.
Кстати, аналогично запросу контакта бот может попросить пользователя расшарить его геолокацию. Да, и это диалоговое окно тоже можно “перевести”.
Как исправить
Очевидно нельзя давать возможность пользователям переводить абсолютно весь интерфейс без модерации. Модерация переводов кстати включена для например вот этого диалогового окна translations.telegram.org/rutech/ios/unsorted/AuthCode.Alert. О необходимости модерации нам сообщает метка Critical.
Выходит что вот такое маленькое упущение как отсутствие метки Critical для диалогов о расшаривании номера и геолокации приводят к утечке. Утечке весьма чувствительных данных, как для мессенджера строящего свой маркетинг вокруг privacy/security.
Мессенджер привязаный к вашему личному номеру телефона по определению не может быть приватным. Он может лишь удорожить процесс раскрытия вашей личности.
Данная уязвимость попала в программу bug bounty телеграма и была оценена в 100€.
Заходите к нам в Telegram чат @secinfosec. Там мы делимся опытом и обсуждаем всё что касается информационной безопасности: баг баунти, пентесты, бумажную и практическую безопасность, новые угрозы и методы борьбы с ними.