Un reporte publicado por el investigador en ciberseguridad Ahmed Hassan menciona que la función “Personas Cercanas”, que permite a los usuarios de Telegram ver quién está en ubicaciones cercanas, puede ser abusada por actores de amenazas para triangular la ubicación de usuarios desprevenidos.
Si bien la función está desactivada de forma predeterminada, los usuarios que la habilitan ignoran que al hacerlo podrían revelar su ubicación con un alto grado de precisión.
Esta función enlista a los usuarios de Telegram en un radio de aproximadamente 2.5 kilómetros. Acorde al experto, es posible suplantar la ubicación de un usuario calculando la distancia entre tres puntos distintos y señalar con precisión la localización del usuario objetivo.
Todo lo que los hackers maliciosos necesitan para falsificar una ubicación es caminar en el área determinada, recopilar su latitud y longitud y determinar qué tan lejos está el usuario objetivo.
Hassan también menciona que es posible completar el ataque empleando una herramienta de falsificación GPS: “Cualquier aplicación disponible en Play Store es funcional para el ataque; los atacantes sólo deben instalar apps como GPS Spoof y crear tres ubicaciones cercana al usuario dentro de un radio de 11 kilómetros”.
Usando estas tres ubicaciones los actores de amenazas podrían usar herramientas como Google Earth Pro para conectar las ubicaciones falsificadas y calcular el punto medio entre las tres: “Probé el ataque de forma exitosa con un usuario de la aplicación”, menciona el investigador.
Al respecto, Telegram menciona que este no es considerado un error, por lo que el informe fue rechazado: “La función está desactivada por defecto; si bien es posible determinar la ubicación de un usuario en condiciones específicas, este reporte no es cubierto por nuestro programa de recompensas por vulnerabilidades”.
Para prevenir que esto vuelva a pasar, la compañía podría redondear las ubicaciones de los usuarios a la milla más cercana y así evitar enviar ubicaciones precisas. Además, Hassan recomienda agregar ruido aleatorio en la función de forma similar a lo realizado por Tinder cuando se reportó un problema idéntico en la plataforma.
Créditos: Alisa Esage