Под угрозой может оказаться любой пользователь, активировавший функцию «Люди рядом». Злоумышленникам понадобится лишь старый смартфон на Android, чтобы вычислить жертву.

В мобильной версии мессенджера Telegram действует функция, которая позволяет установить местоположение человека с точностью до метра. Программист с ником JKCTech описал алгоритм действий в GitHub.

В 2021 году разработчики добавили в Telegram функцию «Люди рядом», которая показывает пользователей, находящихся поблизости, и довольно точное расстояние до них. Таким образом можно посмотреть их профили или написать сообщения, однако номер телефона остается скрытым. Опцию можно включить или выключить в любое время.

«Это может помочь вам найти новых друзей, но также может привлечь нежелательное внимание», — предупреждает уведомление в приложении.

Злоумышленники для поиска жертвы могут воспользоваться методом трилатерации в сочетании со спуфингом (подменой) GPS-сигнала. Процедура довольно простая:

1. Узнать примерное местоположение жертвы, например, город или район.
2. Выбрать точку для обзора в предполагаемой зоне нахождения жертвы, которую можно менять примерно раз в 10 минут. Повторять этот пункт, пока приложение не покажет нужного человека.
3. Записать координаты точки обзора и расстояние до жертвы.
4. Выбрать еще несколько точек обзора поблизости с расстоянием 5-6 км, найти жертву, повторить пункт 3.
5. Вставить собранные данные в таблицу Excel и загрузить в сервис GPS Visualizer, который представит зоны с центрами на выбранных точках в виде разноцветных кругов.
6. Там, где круги пересекаются, и находится жертва.

Процесс занимает примерно полчаса, если его выполнять вручную. Программист JKCTech создал систему, способную выполнять его автоматически за считанные минуты. Программа определяет местоположение всех пользователей Telegram, активировавших функцию, в выбранной зоне.

JKCTech отмечает, что помимо пользователей, отследить по местоположению можно и групповые чаты. Благодаря функции «Люди рядом» появилась возможность читать сообщения в таких группах, не присоединяясь к ним. Таким образом можно найти чаты, где люди продают нелегальные товары или оказывают услуги.

Фокус обратился к специалисту по тестированию мобильных приложений и главе «Гильдии IT-cпециалистов» Тарасу Розкишному, который проанализировал публикацию на GitHub. Он использовал эмуляторы в среде Android Studio, чтобы проверить работу программы, размещенной JKCTech.

По словам эксперта, на эмуляторах воссоздать алгоритм можно, однако реальные устройства для определения местонахождения юзера используют много разных компонентов: WiFi, Bluetooth, координаты сети, GPS. В связи с этим, говорит эксперт, использовать GPS-спуфинг позволяют только старые версии ОС Android. Однако это не отменяет тот факт, что при помощи эмулятора на компьютере можно выставить любую геолокацию, воспользоваться методом трилатерации и найти человека с точностью до метра.

«Главный способ защиты — запретить Telegram доступ к геолокации в настройках смартфона», — подытожил Тарас Розкишный.