Привет, %username%!
В телеге давно есть опциональная фича find people nearby, которая показывает точное расстояние до людей поблизости. Если использовать GPS спуфинг и трилатерацию (не путать с триангуляцией), то можно узнавать координаты людей в любой точке планеты с точностью до метра.
Поскольку телега в течение 30 дней игнорировала сообщение об этой "фиче", автор выложил всё на github.
Алгоритм поиска конкретного человека довольно простой
Узнаём примерное местоположение жертвы, например город.
Случайным образом выбираем точку для обзора в этом городе. Телега позволяет менять свою локацию примерно 1 раз в 10 минут.
Повторяем п.2 пока не найдем искомого человека.
Запоминаем свои координаты и расстояние до человека.
Выбираем еще пару точек в этой области, между которыми будет 5-6 км и повторяем п.4.
-
Сохраняем всё в Excel и загружаем на https://www.gpsvisualizer.com/.
-
Там где круги пересекаются и будет находиться ваша жертва
Этот процесс можно автоматизировать, чтобы просто следить за случайными людьми в некоторой области. Автор использовал довольно оригинальное решение с автоматизацией GUI клиента
Так же это может быть использовано для подглядывания за групповыми чатами, созданными под конкретную локацию.
Решение?
Не включайте эту опцию и друзьям запретите.
Попросить разработчиков округлять расстояния до километра.
Комментарии (86)
whitehat
17.02.2022 08:35+95Заголовок "Telegram позволяет узнавать координаты людей с точностью до метра"!!!!1111
правда:
1) на самом деле не до метра, а так, метров 10-50
2) ... и, как бы вам это сказать, "жертва" должна сама расшарить свою локацию с промощью кнопки "расшарить локацию" (фейспалм.жпг)
3) а что бы кул-хацкеру было проще "жертву" найти - жертва ему ещё и город свой должна сообщить (ну хоть не номер дома!)
Не удивлён, что телеграм на эту "уязвимость" не очень отреагировал
unwrecker
17.02.2022 08:44+2Кроме live location sharing есть ещё people nearby. Сейчас поэксперементировал с ним с разных учёток - показывает на какое-то время учётку, где опция make myself visible не активна. Возможно, этот баг и имелся в виду.
13werwolf13
17.02.2022 09:02+10они не отреагировали скорее потому что это не баг а фича, для того и сделана. а не хочешь чтобы тебя нашли просто выключи в настройках.
Avot_Inet
17.02.2022 12:48+18Даже не "выключи в настройках", она по умолчанию выключена. То есть это надо пойти и включить её, чтобы вас хоть кто-то мог найти. Жду статьи "кухонные плиты позволяют поджарить человека. Если их оставить включёнными. И человек сам на них сядет."
ILDAR_BAHTIGOZIN
17.02.2022 13:35+5только последние 2 уточнения убрать из заголовка и статья для жёлтой прессы готова:
кухонные плиты {название плиты} позволяют поджарить человека.????
а потом в статье мелким шрифтом добавить уточнение что это только в том случае если "их оставить включёнными. И человек сам на них сядет."
NikRag
17.02.2022 14:51+2Когда у кухонных плит будет 50 пользовательских настроек, которые еще будут управляться через умный дом, а плита будет перемещаться за хозяином, то это будет очень нелишне.
sinneren
17.02.2022 09:41+3не забывайте, даже главное это: телега позволяет менять координаты раз в 10 минут. жертва должна еще и стоять. просто проследить за ней уже не выйдет.
vGimly
18.02.2022 13:39+1Тоже мне проблема.
Берёте 3/5/10 сотовых телефона - размещаете их в 3 фейковых (вариант физических) локациях... Можно даже целую сеть, охватывающую крупный город сделать.
Триангуляция будет одномоментной... Можно даже всей "толпы поблизости"...Телеграмм вроде даже не ограничивает количество железок с одного аккаунта - значит и одного "друга" хватит.
Revertis
18.02.2022 17:49Запустить три эмулятора Android с эмуляцией трёх разных точек в настройках GPS.
sergarcada
17.02.2022 08:37+13Решение?
1. Не включайте эту опцию и друзьям запретите
Вау. Я думал что live location sharing и создана для того, чтобы было легко найти человека.
И как-то автор легко заявляет, что достаточно знать примерное расположение человека. Как минимум надо знать, что этот человек пользуется телеграм, примерное расположение, что эта функция включена (то есть чел уже хочет чтобы его нашли) и чтобы он 10 минут никуда не двигался. Ну и при этом не надо забывать, что живем не в плоском мире и зная точные координаты, пусть даже и до метра, на искомом месте можно обнаружить торговый центр или многоэтажечку.
В общем, я не понял как эту функцию можно использовать в виде уязвимости, кроме как увеличения точности местоположения человека, который хочет чтобы его нашли.
Да и сама эта функция настолько специфична, что мне сложно предположить кому она нужна. На ум приходят только любители острых ощущений и случайных знакомств.
tsurugi-no_ken
17.02.2022 08:53сама эта функция настолько специфична, что мне сложно предположить кому она нужна. На ум приходят только любители острых ощущений и случайных знакомств
Органы могут обязать всех людей включить функцию принудительно, и иметь к ней неограниченный доступ. Например, Батьке очень понравится.
sergarcada
17.02.2022 08:59+13Органы могут обязать вас каждый день являться к ним в кабинет и рассказывать, что вы делали за прошедшие сутки. Так себе аргумент.
tsurugi-no_ken
17.02.2022 09:48+1Могут, но людских ресурсов и денег это потребует больше, чем если обязать IT-компанию следить и хранить за свой счёт.
sergarcada
17.02.2022 09:56+2Тогда по вашей же логике проще обязать производителей телефонов и/или операционных систем обязать следить за пользователями. Это уже из области теорий заговора и если бы да кабы.
В реальности никто вас не заставляет использовать телеграм, андроид и включать опции в мессенджерах. К текущей статье никакого отношения все эти предположения не имеют.
RTFM13
18.02.2022 16:56+2В реальности никто вас не заставляет использовать телеграм, андроид и включать опции в мессенджерах.
Достаточно при покупке симки требовать предъявить паспорт.
А потом при каждом чихе требовать ввести номер телефона.
Но это уже из области практик заговора.
aik
17.02.2022 12:28+5Органы могут за вами следить хотя бы из офиса оператора связи, зачем им заставлять вас ставить телеграм и включать какую-то опцию?
imater
17.02.2022 16:23+4Мои внутренние органы успешно требуют явиться в определенное место минимум раз в сутки
dragonnur
18.02.2022 08:57"...самурай, косоглазая образина, рису натрескается – у него натурально запор. Этак неделю можно до ветру не ходить. Зато уж как с позиции в тыл сменится, дня два с толчка не слезает. " (с) Борис Акунин
pronvit
17.02.2022 10:25+2Странные у вас аргументы. У вас нету друзей/врагов/бывших/должников, про которых вы знаете, в каком городе они, но не знаете точный адрес? И наоборот - все кто не знает ваш точный адрес, не знают и город? Уж знать город и чтобы человек 10 минут сидел дома - это проще простого.
Если не говорить про Россию и еще пару стран, большинство людей живут не в многоэтажках. Но даже если и там, то чтобы подкараулить у подъезда, вполне достаточно.
Kanut
17.02.2022 10:30+7Чтобы подкараулить кого-то у подъезда никакой live location sharing не нужен. Это и в 90-х великолепно работало :)
fpir
17.02.2022 12:00+8О, еще как работало!
Где-то в 2005 был у меня смартфон, 20к строил, гдет 800$, на windows mobile. И стояла такая противоугонка: при смене сим-карты он отправлял sms с координатами GPS на заданный номер. 4 раза я его разными способами " пролюбливал" и 4 раза мне его привозили в указанное место и оказывались от вознаграждения. Вот такие были бескорыстные и отзывчивые люди. Правдв , пришлось все 4 раза звонить и спрашивать, готовы ли они привезти его в указанное место или мне самому приехать на такую-то улицу в такой-то дом.
achekalin
17.02.2022 13:02+4Когда тебе звонят с незнакомого номера, и спрашивают, мол, "Вы недавно нашли телефон, Петр Иванович, нам за ним подъехать, или Вы вот прямо сейчас соберетесь и срочно-срочно нам его завезете на ул. Ленина, дом 2, а мы заберем заявление о краже?", то многие добровольно привезут, точно.
По вашему рассказу, конечно, выходит, что имя-отчество Вы в обращении не использовали, но подобный звонок очень мотивирует.
Правда, будем честны, сегодня нашедший, получив такой намек, скорее выкинет аппарат обратно в траву/снег/лужу, где его нашел, и пойдет дальше, понимая, что избежал большого числа претензий со стороны кто его знает кого.
sergarcada
17.02.2022 14:39Есть. И даже опыт такой есть.
Вот вы сами возьмите произвольного человека из своего окружения случайным образом из списка контактов и попробуйте найти его описанным способом, не сообщая ему об этом. Шансы ничтожны.
NikRag
17.02.2022 14:59Сначала вы с человеком в хороших отношениях, и, встречаясь как-то раз в нетипичном месте (например в большом парке), пересылаете ему локацию. Потом через месяцы/годы вы с человеком в плохих отношениях. Вы забыли про включенную локацию, а он нет.
Не?
sergarcada
17.02.2022 15:53+8И?
Вы отдали человеку ключи от квартиры, когда были в хороших отношениях и забыли.
А он нет.
Вы использовали почту на ноутбуке друга, когда были в хороших отношениях и забыли разлогиниться.
А он нет.
Вы оформили бесплатную подписку на первые три месяца, привязав свою карту и забыли про этот сервис.
А он вас нет.
Можно продолжать бесконечно.
tsurugi-no_ken
17.02.2022 08:49+61. Не включайте эту опцию и друзьям запретите
2. Попросить разработчиков округлять расстояния до километра
Не ставить Телеграмм, или как?
ferosod
17.02.2022 08:56+4Не покупать смартфон
klounader
17.02.2022 10:10+35. Уехать в тайгу
YNK
17.02.2022 10:41Купить футляр/чехол для подавления сигнала смартфона.
Оставлять смартфон дома под сковородкой.
pae174
17.02.2022 21:30+2Оставлять смартфон дома под сковородкой.
Это ещё хуже. Он запомнит локацию до помещения под сковородку, поймет по отсутствию сигнала и по датчикам, что лежит под сковородкой, послушает микрофонами кухонные разговоры, запишет их и потом доложит куда надо о том, что владелец что-то замышляет и занимается конспирацией.
Darkhon
17.02.2022 12:47+4А что, нормальный совет. Есть гораздо более конфиденциальные мессенджеры.
ILDAR_BAHTIGOZIN
17.02.2022 13:43+3которыми пользуется 1,5 землекопа.
M_AJ
17.02.2022 17:34+3"Землекопы" в контексте конфиденциальных мессенджеров звучат несколько двусмысленно.
QuAzI
17.02.2022 09:06+2Округлять расстояние до километра, когда ты сам шаришь человеку локацию именно ради того чтобы проще было встретиться - ну оооочень странная фича) Там и так проблемы с прицеливанием иногда до полукилометра.
Может речь всё-таки про People Nearby где не должно как попало включаться Make Myself Visible?
damirg
17.02.2022 09:21На сайтах знакомств бывает тоже приложение показывает расстояние до собеседника.
Как то давно тоже с разных мест определял расстояние и вычислял местоположение собеседника.
technomancer
17.02.2022 09:45+6А подскажите, пожалуйста, кто-нибудь, как эту опцию ВКЛЮЧИТЬ? Перерыл всё меню и нигде найти не могу. Собирался уже писать бота или приложение для такого же функционала, а всё, оказывается, есть готовое.
t38c3j
17.02.2022 12:11+1https://habr.com/ru/news/t/536346/
Была новость, просто повторный нагое трафика с обновленной репой
dikey_0ficial
17.02.2022 15:34ЕМНИП уже давно начали прибавлять к расстоянию рандомное кол-во метров (от 300 до 500 точно), к тому же новость старая, так что статья жёлтая)
AstorS1
17.02.2022 18:27+1Весьма интересная возможность, буду знать и пользоваться при автомобильном и пешем туризме в зоне действия мобильной сети. Думаю, что и велосипедистам зайдет.
sergarcada
18.02.2022 08:01Мне кажется для этого есть более подходящие программы. Рекомендовать не буду, поскольку любая из программ типа gps\travel tracker доставляет немало геморроя, но они есть и куда функциональнее любого мессенджера с location sharing.
Dron007
17.02.2022 19:09+1Помню, раньше там отображалось точное расстояние до человека, потом после активного использования для слежения, сделали, что всегда от 100 метров показывает. Но это не очень мешает, конечно, примерно вычислить расстояние. Но не до метра же. Не понял вообще почему об этом ничего нет в статье. За что ещё критиковали Телеграм, так это за то, что совсем не обязательно было нажимать кнопку "Показывать меня здесь". Достаточно было открыть список "люди рядом" и твоё местоположение без всяких вопросов становилось видимым. Не знаю как сейчас.
iROOT
17.02.2022 20:25+2Могу предположить что может сработать способ с виртуальным Android и подменой GPS координат. То есть берется несколько разных аккаунтов на разных устройствах, подменяются им координаты и без ожидания делается пеленгация.
Возможно от всего этого разработчиками предусмотрена защита.Понятно что вообще-то нужно включить эту функцию чтобы начать быть уязвимым.
winwood
18.02.2022 21:37Сперва напридумали андроидов с айосами, дже-пэ-эсов с вай-фаями. А теперь недовольны, что те их местоположение сливают. Как говорил один персонаж в известном фильме: "Любишь медок - люби и холодок"
tvoyznakomy
20.02.2022 01:19Там еще можно посмотреть имя и фамилию, указанные при регистрации, если удалить контакт, а потом восстановить.
Если потерять смартфон, заблокировать акк с компа невозможно. Нужно срочно покупать новый и восстанавливать номер. Это создает угрозу безопасности.
Если включен показ сообщений на экране блокировки, можно запросить доступ к аккаунту жертвы и прочитать код на экране, не разблокируя телефон, пока жертва в туалете и т.п. Это вообще дичь, я считаю.
Телега подобные письма просто игнорит.
Myxach
Только зачем такие вычисление、 если можно просто идти в направление расстояние
Scratch Автор
Направление же неизвестно, только расстояние
Watcover3396
Идёшь в любом направлении, смотришь уменьшилось ли расстояние или увеличилось, и таким макаром можно прикинуть направление)
Akuma
Локация не меняется в реальном времени, на сколько мне понятно из статьи. А менять направление каждые 10 минут - ну такое себе, проще математика.
NickAbr
при физическом движении оно немного не так работает, тестил с другом. он сидит дома, я с телефоном от него на некотором расстоянии. я захожу в "люди вокруг", нахожу его, скажем, он в 100 метрах. иду условно на юг, через минуту-две смотрю сколько до него, к примеру получилось 115м. возврашаюсь в исходную точку, иду от нее на запад пару минут. смотрю, там 110 метров. в результате, я понимаю, что мой друг от исходной точки находится на северо-востоке.
понятно, что это все примерно, но какую-то область, в которой находится человек определить можно
evil_me
amarao
Это шутка о квантовой физике.
Melnix
Тоже заметил. Это о невозможности одновременного измерения положения и импульса частицы. Измерение одного параметра автоматически делает второе значение неверным.
vak0
Это у вас Гейзенберг на картинке?
Myxach
Если ты постоянно знаешь расстояние, то направление не так уж и трудно узнать, как человек выше и написал: тупо идем в любую сторону и смотрим на то, как изменилось расстояние
savostin
Охота на лис в интернете
Watcover3396
Вот, точно, я вспомнил что раньше такое соревнование было, когда мужики с приемниками и направленными антеннами бегали по лесу в поиске передатчика, а название забыл)
YNK
Спортивная радиопеленгация сейчас свой ренессанс переживает.
engine9
Интересно, а сейчас такое будет востребовано и законно? Это же просто обалденная забава и творчество одновременно.
Kanut
Я бы сказал что сейчас скорее относительно популярен geocaching в том или ином виде. Местами и с радиопеленгацией или другими "техническими наворотами".
gremsta
Кажется, "геокешинг" сейчас немного по-другому стал называться и с немного другими последствиями. И следствиями :)
shark14
Да, офигенное занятие. У нас в универе была такая секция (можно было туда ходить вместо физкультуры), я пару лет занимался этим.
На тренировках мы просто учились пеленговать одиночную «лису» (передатчик).
Но самый кайф был на соревнованиях — когда по лесу было расставлено целых 5 «лис», и каждая передавала сигнал только в течение минуты, а остальные 4 минуты молчала (соответственно, в это время сигнал передавала какая-то следующая). У участников были приемники и планшеты с бумажными картами.
Поэтому надо было сначала определить направление за минуту, а потом за 4 минуты «молчания» попытаться добежать почти до «лисы», но чуть правее или левее, чтобы поймать сигнал уже в другом направлении и триангуляцией определить конечную точку. То есть в идеале на поиск одной «лисы» нужно максимум 2 итерации (ну и умение быстро бегать по лесу), хотя в реальности все бывало заметно сложнее :)
NineStems
А у нас был КЮТ, который после 2008-2010 годов трансформировался из технически направленных кружков в пение и танцы.
Первое знакомство с ПК, паяльником и любительскими радиостанциями, прямо захлестнули воспоминания
Особенно было неприятно упустить лису и оставался выбор либо терять время работы следующей и проверять ближайщий куст, либо бежать дальше
Alexufo
engine9
Эти наушники переживут апокалипсис. И при этом они лёгкие и даже удобные.
dragonnur
Не переживут - слишком проволока тонкая; обычно для более чувствительного приёма и экономного расхода батареи пользовали наследие ламповых времён, высокоомники, 1600 либо даже 2200 ом на капсюль. Лёгкие, да. И на голове хорошо держатся. Но толстый "гупер" (обрезиненный провод) не слишком удобен (и рассыхается, тоже и с амбюшорами), как и штекер конструкции "трансляционная вилка".
monah_tuk
ТОН-1, ТОН-2? Был для меня дефицитом, вот ТА-56М на 50 Ом были в изобилии, как и комплектуха к ним. Капсули до сих пор где-то валяются.
MockBeard
Сталкинг выходит на новый уровень )))
yatsenko-ihor
потому что можно рутовать девайс, подменить координаты и смотрел людей за тысячи км
Myxach
логично, осталась понять нафига. Только, если заказать кого-то хочешь, ну и все