Si está utilizando un dispositivo Android, o en algunos casos un iPhone, la aplicación de mensajería Telegram facilita que los piratas informáticos encuentren su ubicación precisa cuando habilita una función que permite a los usuarios que están geográficamente cerca de usted conectarse. El investigador que descubrió la vulnerabilidad de divulgación y la informó en privado a los desarrolladores de Telegram dijo que no tienen planes de solucionarlo.
El problema se deriva de una función llamada Personas cercanas. De forma predeterminada, está desactivado. Cuando los usuarios lo habilitan, su distancia geográfica se muestra a otras personas que lo tienen activado y se encuentran (o están falsificando) en la misma región geográfica. Cuando Personas Cercanas se usa como se diseñó, es una característica útil con pocos o ningún problema de privacidad. Después de todo, una notificación de que alguien está a 1 kilómetro o 600 metros de distancia todavía deja a los acosadores adivinando dónde estás exactamente.
Acoso simplificado
Sin embargo, el investigador independiente Ahmed Hassan ha demostrado cómo se puede abusar de la función para divulgar exactamente dónde se encuentra. Usando un software fácilmente disponible y un dispositivo Android rooteado, puede falsificar la ubicación que su dispositivo informa a los servidores de Telegram. Al usar solo tres ubicaciones diferentes y medir la distancia correspondiente informada por Personas cercanas, puede identificar la ubicación precisa de un usuario.
Telegram permite a los usuarios crear grupos locales dentro de un área geográfica. Hassan dijo que los estafadores a menudo falsifican su ubicación para colapsar a esos grupos y luego venden inversiones falsas en bitcoins, herramientas de piratería, números de seguridad social robados y otras estafas.
“La mayoría de los usuarios no entienden que están compartiendo su ubicación y quizás la dirección de su casa”, escribió Hassan en un correo electrónico. “Si una mujer usó esa función para chatear con un grupo local, puede ser acosada por usuarios no deseados”.
Un video de prueba de concepto que el investigador envió a Telegram mostró cómo podía discernir la dirección de un usuario de Personas cercanas cuando usaba una aplicación gratuita de suplantación de GPS para hacer que su teléfono informara solo tres ubicaciones diferentes. Luego dibujó un círculo alrededor de cada una de las tres ubicaciones con un radio de la distancia informada por Telegram. La ubicación precisa del usuario era donde los tres se cruzaban.
Hassan pidió que no se publicara el video. La captura de pantalla a continuación, sin embargo, da una idea general.
ahmed hassan
arreglando el problema
En una publicación de blog, Hassan incluyó un correo electrónico de Telegram en respuesta al informe que les había enviado. Señaló que Personas cercanas no está habilitada de forma predeterminada y que «se espera que sea posible determinar la ubicación exacta bajo ciertas condiciones».
Los representantes de Telegram no respondieron a un correo electrónico en busca de comentarios.
Personas cercanas representa la mayor amenaza para las personas que usan dispositivos Android, ya que informan la ubicación de un usuario con suficiente granularidad para que el ataque de Hassan funcione. El iOS 14 lanzado recientemente, por el contrario, permite a los usuarios divulgar solo una aproximación aproximada de su ubicación. Las personas que usan esta función no están tan expuestas.
Solucionar el problema, o al menos hacer que sea mucho más difícil explotarlo, no sería difícil desde una perspectiva técnica. Por lo general, basta con redondear las ubicaciones a la milla más cercana y agregar algunos bits aleatorios. Cuando la aplicación Tinder tuvo una vulnerabilidad de divulgación similar, los desarrolladores usaron este tipo de técnica para solucionarla.
Las consecuencias para la privacidad de la función Personas cercanas de Telegram son un buen recordatorio de que a menudo se puede abusar de las funciones de maneras que las personas que las desarrollan no contemplan. Los usuarios que deseen mantener la privacidad de su paradero deben sospechar de los servicios basados en la ubicación e investigar antes de instalarlos o activarlos.
