近日,有安全研究人员指出,使用著名加密聊天软件Telegram的“附近的人”功能可以暴露用户的确切位置,且该功能长期存在。要知道,Telegram作为一款高度匿名软件,一旦暴露所处位置,可能会当场社会性死亡,目前,启用此功能的人可以看到是十几千米内的其他用户列表,从而可以添加附近的人进行聊天。

而该安全研究员通过伪造自己的Android设备位置,分别定位到三个不同点的距离,然后使用三角定位法来精确定位目标的位置,从而能够使用此方法检索确切的家庭住址。当年国内各种社交APP没有对用户位置距离限定的比较严格的时候曾经被多方使用过这项技术。

详细原理如下:

打开Telegram,点击附近的人,可以选择查看人们离你的所在位置有多远。(此处可伪造)

单击它之后,它将显示附近的人的列表,如下所示:

如图所见,Telegram会告诉每个人离自己有多远。

这里提一下三角定位法,其原理是利用2台或者2台以上的探测器在不同位置探测目标方位,然后运用三角几何原理确定目标的位置和距离。

应用到定位领域可以见下图。

(网图,侵权删除)

因此可以通过伪造自己位置以获得三个点,这三个点以三角分布进行选取,这样每伪造一个位置,就获取一下你想要获取的目标地址现在显示的距离有多远,这里距离作为半径,最后用这些数据绘制三个三角剖分圆。其中伪造手机定位方法有很多种,详细可以搜索伪造定位。

Telegram最多可以获取在7英里(11千里)半径范围内的用户列表。这里研究员发现目标用户住在贝里奇(Bay Ridge),所以把地址欺骗到贝里奇(Bay Ridge)地区。然后收集那个人离自己伪造的点的距离。重复三遍,如下所示:

最后打开Google Earth Pro,搜索位置的纬度和经度,然后使用标尺从每个位置绘制一个带有目标用户目的地的圆。结果如下:

三个圆圈的交点是用户的位置。为了验证这一点,研究员添加了一个用户,并询问他们是否住在附近。

结果显然,该用户确实住在那。

目前,Telegram方面认为这不符合他们的漏洞赏金计划中,并表示如果不使用该功能的时候可以禁用他,所以不打算修复,因此这个方法有可能一直有效。

值得一提的是,该安全研究员在Line应用程序中报告了同样的问题,Line方面给了他1000美元,而解决办法是,他们通过向用户的目的地添加随机数从而使得上述提及的方法不再准确。

此外,目前有人发帖称,他已经在许多主要城市使用Telegrams API运行了一个自动化脚本,已收集数以万计的用户几个月的运动数据,其还希望Telegram不要修复这个功能。

最后,黑鸟看了一下Telegram的APP,发现需要自己点击允许位置权限等才会开启该功能,为了生命安全,建议勿要开启。

参考链接:

https://blog.ahmed.nyc/2021/01/if-you-use-this-feature-on-telegram.html

上期:国家级黑客使用iMessage漏洞攻击记者,无需点击即可触发

没更新的日子都在知识星球更新情报,欢迎订阅

Telegram附近的人功能存在安全风险,可被用于探测用户位置相关推荐

  1. 在XMPP的JAVA开源实现Openfire中,增加LBS 附近的人功能

    1. XMPP协议 与 Openfire XMPP协议是IM领域的标准协议了,具体可参考  http://xmpp.org   及RFC6120,RFC6121,RFC6122等相关文档. http: ...

  2. Android端IM应用中的@人功能实现:仿微博、QQ、微信,零入侵、高可扩展

    本文由"猫爸iYao"原创分享,感谢作者. 1.引言 最近有个需求:评论@人(没错,就是IM聊天或者微博APP里的@人功能),就像下图这样: ▲ 微信群聊界面里的@人功能  ▲ Q ...

  3. 基于redis(v3.2+)实现“附近的人”功能

    背景介绍:目前随着电商.社交.游戏和代购等的流行,"附近的人"这一功能提供了一种便捷的方式允许同一地区或者一定距离范围内的用户进行相互交流的途径,一般都是在用户点击某个菜单或按钮时 ...

  4. java怎么实现查找n功能_java 实现微信搜索附近人功能

    最近给andorid做后台查询数据功能,有一个需求是模仿微信的查找附近人功能. 数据库中存储每个用户的经纬度信息及用户信息,通过当前用户传递过来的经纬度查询这个用户半径N公里以内的用户信息. 数据库表 ...

  5. 如果实现类似微信附近的人功能

    如果实现类似微信附近的人功能: 第一种可以使用redis-geo扩展: 第二种可以使用mysql5.7的geo扩展: 第三种可以使用es的geo扩展 : 第四种可以使用百度的API或者微信的API: ...

  6. 如何在VR全景中嵌入AI数字人功能?打造云端体验感

    互联网产品的更新迭代是很快的,众多行业都会不断的上新产品,不久前我们推出了AI数字人讲解功能,那么如何在VR全景作品中嵌入这种功能呢?其实这些功能都是市场发展的需求,毕竟现在元宇宙的概念爆火也在无形之 ...

  7. java 开发安卓im_Android端IM应用中的@人功能实现:仿微博、QQ、微信,零入侵、高可扩展...

    本文由"猫爸iYao"原创分享,感谢作者. 1.引言 最近有个需求:评论@人(没错,就是IM聊天或者微博APP里的@人功能),就像下图这样: ▲ 微信群聊界面里的@人功能 ▲ QQ ...

  8. android 仿qq 通讯录,Android端IM应用中的@人功能实现:仿微博、QQ、微信,零入侵、高可扩展[图文+源码]...

    本文由"猫爸iYao"原创分享,感谢作者. 1.引言 最近有个需求:评论@人(没错,就是IM聊天或者微博APP里的@人功能),就像下图这样: WechatIMG43.jpg (19 ...

  9. “附近的人”功能是如何实现的?

    code小生 一个专注大前端领域的技术平台公众号回复Android加入安卓技术群https://juejin.im/post/5da40462f265da5baf410a11 针对"附近的人 ...

最新文章

  1. Semplice Linux 3.0.0 发布
  2. pywebio 之词云图
  3. 使用 ipmitool 实现远程管理Dell 系列服务器
  4. 白白的(baibaide)
  5. Fastjson批量检查及一键利用工具
  6. Ruby on Rails Exception:Routing Error
  7. [唐胡璐]VBS技巧 - Find a File Recursively(递归查找文件)
  8. python逻辑运算的一些流程图_Python大牛历时一个月打造的Python系统学习流程图,超详细!...
  9. day02.2-常用Linux命令整理
  10. 快速排序算法--两个小人扔萝卜
  11. TextMesh Pro不能显示中文的解决办法是创建字贴图,常用汉字3500+特殊字符
  12. js的MDS代码multidimensional-scaling
  13. 用python输出杨辉三角形,python输出杨辉三角
  14. VIM教程与学习资料汇总(转载自善用佳软)
  15. linux git difftool,git difftool 详解
  16. 科研热点|发一篇SCI吃半年土?为何国际期刊版面费越来越贵?
  17. IDEA搭建POI导入导出Excel入门版
  18. 直通车点击软件测试自学,【图片】最给力直通车点击软件,防御直通车恶意点击秒杀软件,可测试效果_直通车吧_百度贴吧...
  19. 话题|寒窗苦读还是花花世界,你会怎么选?
  20. ubuntu18.04配置deepo深度学习环境(cuda + cudnn + nvidia-docker + deepo)--超级细致,并把遇到的错误和所有解决方案都列出来了

热门文章

  1. BAT、华为、头条等各大互联网公司职级、薪资、股权大揭秘
  2. Sublime Text 崇高文本 ----最性感的编辑器(程序员必备)
  3. Linux 操作系统(二)搜索文件命令find、locate、which、whereis、grep、wc
  4. 【黑苹果装机实践】从硬件选择到系统安装
  5. 2019年9月19日好货十元内精选包邮
  6. 基础算法题——天梯赛座位分配(化繁为简)
  7. html阴影效果骰子,flex布局案例(骰子)
  8. mysql 文本 挖掘_GitHub - cwff520/dianping_textmining: 大众点评评论文本挖掘,包括点评数据爬取、数据清洗入库、数据分析、评论情感分析等的完整挖掘项目...
  9. CSS3使用一个盒子实现太极图案
  10. 【多目标优化求解】基于matlab非支配排序灰狼优化(NS-GWO)算法求解多目标优化问题【含Matlab源码 2015期】