Esta función de Telegram expone tu dirección precisa a los hackers

Si estás utilizando un dispositivo Android, o en algunos casos un iPhone, la aplicación de mensajería Telegram facilita que los hackers encuentren tu ubicación precisa. Esto cuando habilitas una función que permite a los usuarios que están geográficamente cerca de ti conectarse. El investigador que descubrió la vulnerabilidad de divulgación y la informó en privado a los desarrolladores de Telegram dijo que no tienen planes de solucionarla.

El problema se debe a una función llamada Personas cerca. De forma predeterminada, está desactivada. Cuando los usuarios la habilitan, tu distancia geográfica se muestra a otras personas que lo tienen activado y están en (o están falsificando) la misma región geográfica. Cuando se utiliza Personas cerca según lo diseñado, es una función útil con pocas o ninguna preocupación por la privacidad. Después de todo, una notificación de que alguien está a 1 kilómetro o metros de distancia todavía deja a los acosadores adivinando dónde, precisamente, estás.

Acecho simplificado

Sin embargo, el investigador independiente Ahmed Hassan ha demostrado cómo se puede abusar de la función para divulgar exactamente dónde te encuentras. Usando software fácilmente disponible y un dispositivo Android rooteado, puede falsificar la ubicación que su dispositivo informa a los servidores de Telegram. Al usar solo tres ubicaciones diferentes y medir la distancia correspondiente informada por Personas cerca, puede identificar la ubicación precisa de un usuario.

Telegram permite a los usuarios crear grupos locales dentro de un área geográfica. Hassan dijo que los estafadores a menudo falsifican su ubicación para ingresar a dichos grupos y luego vender falsas inversiones en bitcoins. También para vender herramientas de hacking, números de seguridad social robados y otras estafas.

“La mayoría de los usuarios no comprenden que están compartiendo su ubicación y quizás su dirección particular”, escribió Hassan en un correo electrónico. “Si una mujer usó esa función para chatear con un grupo local, puede ser acosada por usuarios no deseados“.

Un video de prueba de concepto (PoC) que el investigador envió a Telegram mostró cómo podía discernir la dirección de un usuario de personas cerca. Esto cuando usaba una aplicación de suplantación de GPS gratuita para hacer que su teléfono informara solo tres ubicaciones diferentes. Luego dibujó un círculo alrededor de cada una de las tres ubicaciones con un radio de la distancia informada por Telegram. La ubicación precisa del usuario era donde los tres se cruzaban.

Hassan pidió que no publicáramos el video. Sin embargo, la siguiente captura de pantalla ofrece una idea general.

Arreglando el problema

En una publicación, Hassan incluyó un correo electrónico de Telegram en respuesta al informe que les había enviado. Señaló que Personas cerca no está habilitado de forma predeterminada y que “se espera que sea posible determinar la ubicación exacta bajo ciertas condiciones”.

Los representantes de Telegram no respondieron a un correo electrónico en busca de comentarios para esta publicación.

Personas cerca representa la mayor amenaza para las personas que usan dispositivos Android. Esto porque informan la ubicación de un usuario con suficiente granularidad para que el ataque de Hassan funcione. El iOS 14 recientemente lanzado, por el contrario, permite a los usuarios divulgar solo una cercanía aproximada de tu ubicación. Las personas que usan esta función no están tan expuestas.

Solucionar el problema, o al menos hacer que sea mucho más difícil explotarlo, no sería difícil desde una perspectiva técnica. Redondear las ubicaciones a la milla más cercana y agregar algunos bits aleatorios generalmente es suficiente. Cuando la aplicación Tinder tenía una vulnerabilidad de divulgación similar, los desarrolladores utilizaron este tipo de técnica para solucionarlo.

Las consecuencias de privacidad de la función Personas cerca de Telegram son graves. Es un buen recordatorio de que las funciones a menudo pueden ser abusadas de formas que no son contempladas por las personas que las desarrollan. Los usuarios que deseen mantener la privacidad de su paradero deben sospechar de los servicios basados ​​en ubicación e investigar antes de instalarlos o activarlos.