Telegram раскрывает точный адрес пользователя, если он активирует функцию «Люди рядом». Данную уязвимость обнаружил исследователь безопасности. Он сообщил о ней разработчикам Telegram, но те ответили, что у них нет планов ее исправлять.
По умолчанию функция «Люди рядом» выключена. Когда пользователи активирует ее, то его географическое положение могут видеть контакты поблизости, у которых также активна эта функция. Выяснилось, что в списках появляются те, кто находится в пределах 11,3 км, но не более 100 человек.
Как выяснил независимый исследователь Ахмед Хассан, функция позволяет вычислить точное местоположение пользователя. Используя доступное программное обеспечение и рутированное устройство Android, он научился подделывать местоположение, которое устройство передает серверам Telegram. Это позволило исследователю попасть в группы, которые были зарегистрированы в пределах тех районов, где он якобы находился.
По словам Хассана, мошенники часто подделывают свое местоположение, чтобы внедриться в такие группы, а затем торгуют полученными оттуда данными или используют информацию иным образом.
Исследователь подчеркивает, что, фактически, пользователи сообщают свой точный адрес. Это подтверждает его эксперимент, в ходе которого адрес пользователя из Нью-Йорка удалось распознать благодаря бесплатному приложению для подмены GPS. Впоследствии он сам подтвердил автору исследования верность своих данных.
Хассан отмечает, что данная функция представляет наибольшую угрозу для пользователей Android, поскольку они сообщают о своем местоположении с достаточной степенью детализации. Недавно выпущенная iOS 14, напротив, позволяет пользователям разглашать лишь приблизительное местоположение.
По словам исследователя, исправить проблему несложно с технической точки зрения. Для этого достаточно добавления случайных битов. Когда в Tinder нашли аналогичную уязвимость, связанную с раскрытием информации, разработчики использовали этот метод, чтобы исправить ее.
Однако в Telegram данную уязвимость таковой не признали. Зато мессенджер Line, который имел аналогичную функцию, уже отключил ее и заплатил Хассану $1000 в качестве вознаграждения.
Год назад Telegram выпустил обновление, которое расширило функцию «Люди рядом» для знакомств. Мессенджер предлагает сделать свой профиль публичным, чтобы просматривать страницы пользователей поблизости, общаться и назначать им встречи. Уже тогда отмечалось, что новая функция делает мессенджер похожим на Tinder.
evg_dc
С дуру один раз включил «люди рядом» когда был в Париже. Минуту полистал что есть и выключил. Теперь уже полгода сыпятся проститутки в среднем по одному сообщению в день. Кнопка «заблокировать и пожаловаться» не помогает. Уже вторая сотня заблокированных пошла, а ничего не меняется. Пробовал username менять, не помогает. Видимо я попал в списки рассылки по моему телеграм ID, теперь только удаление и новое подключение сбросит этот ID, но тогда придется потерять всю переписку и историю (если я правильно понимаю).
Никогда не включайте этот гиморный «люди рядом». Телеграму насрать на спам, он с ним не борется.
evg_dc
Почему у телеграма нет простейшей функции «отключить уведомления для всех сообщений кроме моих контактов».
Аватарки в уведомлениях на которых бабы с раздвинутыми ногами выпрыгивают на мониторе в самый неподходящий момент… Мне уже пришлось 10ти летнему сыну объяснять, что это не мои друзья.
Pydeg
С июля 2020 есть такая функция, проверьте раздел Privacy and Security в настройках.
evg_dc
Странно, но этого нет. Последняя версия и десктопа и мобильного телеграма, может в упор не вижу… В описании обновлений есть, а в настройках никакого switch нет.
evg_dc
Никто не может найти ))
Это такой прикол от телеграма.
Get-Web
В ТГ вообще с настройками проблема, даже ссылка на свой профиль через ж… копируется…
moviq
А не нажимали ли вы там случайно кнопочку «Показывать меня здесь»?
Ka_Wabanga
Я бы не стал так сильно винить в этом телеграм — я не говорю, что они святые, но точку «утечки» нужно установить с большей гарантией, чем "(Думаю что это из-за того, что) С дуру один раз включил «люди рядом» когда был в Париже".
1. Все врут и точно не стоит верить на слово в Интернете.
2. Месье мог иметь общение именно с такими с девушками в Париже, которые ему пишут.
3. Если смена «Юзера» не помогает — возможно «утек» сам номер телефона — опять же, как он попал тем самым девушкам не ясно.
Я бы посоветовал (хотя советов-то никто и не просил):
4. Не хотите спама в любом виде — не ведите публичную деятельность и не пользуйтесь онлайн сервисами и мессенджерами.
5. Не можете без онлайн присутствия — сделайте себе «спам» телефон и электронную почту.
evg_dc
Я прям ждал сообщения типа «сам дурак».
Рассуждалки и советы наивные и технически и по жизни.
copperfox777
Наконец адекватный комментарий. У тс явно проблемы личной жизнью, сам нажал кнопку — поделиться местоположением, видимо часто обращается к услугам проституток, но виноват конечно же телеграм.
xzKakoyLogin
Был похожий случай, пришлось спамить в ответку до взаимного понимания и исключения из баз!
Zolg
боты очень огорчились вашему спаму
Himik007
Лол, возьму на заметку.
ArsUA
От всяких глюков действительно помогает удалить и заново завести учётку. При удалении Телеграм пугает, что "ваш юзернейм может быть недоступен для регистрации несколько дней", но у меня получилось сразу. Потерял всю переписку и несколько важных файлов. ШТОШ...
evg_dc
Да, можно удалить и потом на тот же номер создать, тогда телеграм ID обновится и это снимет проблему т.к. номер не засвечен. Но при удалении уйдет вся история, а это больно.
TPECKA
В десктопной версии Телеграма можно выгрузить историю чата и, при необходимости, всего аккаунта. Не знаю можно ли сделать импорт обратно, но возможность бэкапа радует.
and7ey
А где функция выгрузки чата? В каком формате он выгружается?
TPECKA
Telegram Desktop версия 2.5.1
В правом верхнем углу меню, раскрывающееся из трёх точек, при нажатии выпадает меню. 6 пункт меню — это экспорт истории чата. По умолчанию выгружаются сообщения, но можно выгрузить и все вложения. Форматы: читаемый HTML и машиночитаемый JSON.
evg_dc
спасибо
Raccoon4x
В телеграм, зная лишь один Telegram ID невозможно написать человеку. Это не работает, как в том же вконтакте. Необходимо знать юзернейм или номер телефона.
evg_dc
у меня бот шлет только по телеграм ID, больше ничего не нужно
Raccoon4x
Это замечательно. Но с ботом необходимо сперва начать беседу, прежде чем бот сможет рассылать сообщения.
И я не говорю про Bot API. Я говорю про MTProto, где, действительно, зная "с потолка" только лишь Telegram ID, невозможно написать человеку. Нужно знать юзернейм, либо номер телефона, либо, чтобы данный человек состоял в общей группе с вами, был подписчиком паблика. Понимаете? Но просто взять и разослать перебирая ИД пользователя — невозможно.
evg_dc
согласен, технически так и есть, но тогда почему я получаю спам? показ телефона отключен по умолчанию, username менял, но спам идет. даже если я светился в какой то группе или канале, но потом вышел, ничего кроме телеграм ID остаться не должно было. вот тут непонятно.
evg_dc
кстати, это интересный вопрос. а что надо минимально что бы написать сообщение напрямую, не через бота. если не телефон, то остается username, а если я username меняю, то он автоматом поменяется и у отправителя и отправитель, в свою очередь, может его передавать другим. наверно поэтому не получается их стряхнуть.
Irgen
Именно. Чат с вами у спамера сохраняется в виде открытой переписки, и при смене юзернейма спамер видит ваш новый юзернейм в той же переписке.
evg_dc
Но я не чатился ни с кем! (из этой тусовки).
Все, понял как это делается:
без переписки и отправки первого сообщения можно любого юзера добавить в свои контакты, «люди рядом» это позволяет сделать. Достаточно увидеть кто «рядом» и занести его в свои контакты. Потом как вы описали выше, телефон не нужен, а любая смена username видна.
Irgen
<смахивая слезу ностальгии> А ведь еще в ICQ это предусмотрели:
«username удалил вас из своего списка контактов»</>
QDeathNick
А требуется «username удалил вас из ВАШЕГО списка контактов».
vmkazakoff
Ещё легче: любое сообщение от вас ("%username вошёл в чат" это тоже сообщение и оно "от вас") пересылается в отдельный чат и можете менять юзернеймы и даже номера телефонов хоть каждую минуту — поможет примерно как смена аватарки.
А начать диалог по userID невозможно, как вам уже написали выше. "Бот" который официально бот (и имя заканчивается на bot) не может начать диалог в принципе никогда и никак. А "бот" который на самом деле скрипт, пользующийся клиентом телеги специальным (и для телеги он по всем признакам юзер) — не может написать только по id. Нужно телефон, юзернейм, или любое сообщение которое форварднули, в нем можно нажать на имя отправителя и начать с ним чат.
Предположу, что что-то вы всё-таки написали в тех чатах? Может хоть одно слово?
evg_dc
точно не писал, но в группу наверняка заходил, наверно так и зацепили
YouROK
В телеграмме есть несколько полей у пользователя, раньше когда изучал протокол были обязательными id и username, id задавался самим сервером, а имя пользователями. И это два неизменных параметра были. А если пользователь менял имя, то менялось displayname, не помню точно как называется. Думаю по имени пользователя можно отсылать сообщения. Недавно в чатах заблокировали пользователя за спам, хотя он уверял что ничего не отсылал и не знает почему так произошло. Думаю левый клиент поставил где-то, посоветовал ему удалить все сессии и поменять/поставить пароль для входа
evg_dc
К сожалению похоже возможно, есть такая кнопочка «поделиться контактом». Если вы у меня в контактах и нет доступа к номеру телефона и нет username, то отправка через «поделиться контактом» и есть отправка телеграм ID. И дальше шли спам сколько хочешь.
Raccoon4x
Я могу ошибаться, но разве эта кнопка доступна, если не известен номер телефона? Я посмотрел прямо сейчас в своем списке диалогов, и наблюдаю кнопку поделиться контактом, только у контактов с номером телефона. Другие же контакты могу только редактировать, удалить, заблокировать. Последняя версия ТГ на Андроиде.
negasus
Довольно спорное утверждение.
Довольно часто, если я не сразу увидел спам-сообщение (а у меня они оч редко бывают), к моменту когда я жму «заблокировать и пожаловаться» — аккаунт уже заблокирован
evg_dc
Утверждение основано на реальном опыте. Сейчас у меня около 150 заблокированных и ничего не меняется.
Может быть разная политика для разных стран. Что бы фильтровать французский спам надо нанимать французов, а учитывая, что во Франции (а возможно и по всей европе) Телеграм это мессенджер для наркотиков, проституции и оружия (все сидят на Воцапе) то и борьба со спамом на соответствующем уровне.
SeVa_seva_sEvA
Что-то как-то не верится, что так работает. Друга по приколу искал этой функцией и всё норм — никакие, к сожалению, проститутки ко мне в личку не долбятся.