Эксперт нашёл способ вычислить точную геолокацию пользователя Telegram

Эксперт нашёл способ вычислить точную геолокацию пользователя Telegram

Эксперт нашёл способ вычислить точную геолокацию пользователя Telegram

По словам независимого исследователя в области кибербезопасности, пользователям мобильных устройств на Android (а иногда и iPhone) стоит опасаться одной из функций мессенджера Telegram. В определённых условиях злоумышленники могут вычислить точное местоположение владельцев смартфонов и планшетов.

Специалист по защите информации Ахмед Хассан утверждает, что сообщил о проблеме разработчикам Telegram, однако те не спешат закрывать лазейку для киберпреступников.

Оказалось, что уязвимость кроется в функции People Nearby, позволяющей найти находящихся рядом людей. По умолчанию эта функция отключена, однако есть ряд владельцев девайсов, привыкших пользоваться People Nearby, поскольку это действительно полезная функциональность.

Когда People Nearby используется по назначению, различного рода злоумышленники не могут вычислить точное местоположение пользователей. Однако Хассан нашёл способ определить, где именно находится владелец мобильного устройства.

С помощью общедоступного софта и Android-устройства, которое прошло процедуру рутинга, исследователь смог перехватить геолокацию девайса, передаваемую на серверы Telegram. Хассан использовал всего три локации, а также измерил расстояние, которое отправляет People Nearby. В результате эксперт вычислил точное местоположение пользователя.

Как известно, Telegram позволяет создавать группы, исходя из географического положения участников. По словам Хассана, злоумышленники могут проникать в такие группы, а потом распространять различные мошеннические схемы и предложения.

«Большинство пользователей не понимают, что они зачастую открывают доступ к своему местоположению и даже домашнему адресу. Например, представительницы слабого пола могут стать объектом слежки и т. д.», — объясняет специалист.

Ахмед Хассан также записал видео, демонстрирующие процесс вычисления геолокации пользователя Telegram. В ролике эксперт использовал бесплатное приложение для спуфинга GPS, с помощью которого он отметил три разные локации. Затем Хассан нарисовал окружность вокруг каждого из этих трёх мест, учитывая радиус, который даёт Telegram. Точное местоположение пользователя было в месте пересечения трёх окружностей.

Исследователь пока не решается опубликовать само видео, однако со скриншотом можно ознакомиться ниже:

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Силовики определились с доступом к коммерческим базам персональных данных

ФСБ, СВР, Минобороны, ФСО и МВД России подготовили проект приказа, устанавливающего порядок обеспечения доступа к частным ИС и базам, содержащим личные данные сотрудников силовых ведомств и участников следственных мероприятий.

Определена также форма предписания, по которому оператор персональных данных (ОРИ) обязан предоставить силовикам доступ, дистанционный либо локальный, без решения суда. Требование должно быть подписано руководителем госоргана и подлежит учету.

По его получении оператор персональных данных (ОРИ) должен в течение 24 часов (в экстренных случаях — 3 часов) организовать предоставление доступа к базам для обработки личных данных защищаемых лиц (сотрудников силовых ведомств, судей, свидетелей, информаторов, потерпевших) и принять меры против разглашения факта запроса.

Проект приказа, подготовленный в соответствии с поправками к Закону о персональных данных об обеспечении доступа силовиков к коммерческим базам данных (№ 23-ФЗ от 28.02.2025) опубликован на федеральном портале правовых актов.

Согласно этим изменениям, с 1 июля 2025 года силовые ведомства получат право блокировать, редактировать или удалять информацию о защищаемых лицах в частных базах ПДн, получая доступ в упрощенном порядке — по предписанию для ОРИ.

Форму такого требования и порядок получения доступа к персональным данным должны установить сами силовики. При этом обязанность по сохранению ПДн и ответственность за неправомерное использование или утрату данных возлагаются на лицо, осуществившее обработку.

Заметим, предоставление доступа силовикам к коммерческим базам ПДн вызвало опасения у экспертов и ОРИ еще на стадии законопроекта. Большинство игроков рынка не в состоянии ограничить доступ конкретными записями, т. е. обеспечить выгрузку фрагментов файлов; в результате третья сторона может заодно получить доступ к данным рядовых граждан без их ведома и согласия — в нарушение их конституционных прав.

Операторам ПДн также придется проводить мониторинг на предмет случайного раскрытия информации о ведомственной принадлежности силовиков и других секретных данных (о таких находках они обязаны сразу сообщать спецслужбам). Кроме того, из-за сжатых сроков выполнения требований бизнес-структуры будут вынуждены организовать круглосуточные дежурства, резервные каналы связи и т. п., что грозят ростом трудозатрат и расходов.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru