Pentester Ahmed Hassan publicó una instrucción interesante sobre cómo determinar fácilmente la ubicación de los usuarios de Telegram utilizando la función “Personas cercanas”. Aquí os dejo mi traducción gratuita de su artículo.

Los geochats y los servicios de citas de Telegram popularizan activamente esta función. Recuerda, si usas esta función, tu ubicación exacta estará disponible para todos.

Hace unos años, mientras usaba la aplicación Line, noté una función llamada “Personas cerca“. La función le permite conectarse con otros usuarios de Line dentro de la misma área. La función le daría el destino exacto de usted a los otros usuarios. Si alguien falsifica su latitud, longitud, puede triangular a un usuario y encontrar su ubicación. Informé de un problema en la aplicación Line y me pagaron $ 1000 por ello. Lo arreglaron agregando un número aleatorio al destino del usuario. Puedes encontrar mi nombre aquí.

Hace unos días instalé Telegram y noté que tienen la misma función. Traté de ver si podía desenmascarar las ubicaciones de otros usuarios y descubrí que tenían el mismo problema que en la aplicación Line hace unos años. He informado sobre el problema a la seguridad de Telegram y dijeron que no era un problema. Si habilita la función de hacerse visible en el mapa, estará publicando su dirección particular en modo online. Muchos usuarios no saben esto cuando habilitan “Personas cerca”.

Ubicación de los usuarios de Telegram

Mejor no usar esta función

Abrimos Telegram y vamos al menú “Personas cerca”, allí puede ver qué tan lejos están las personas de tu ubicación. Después de hacer clic en él, aparecerá una lista de personas junto a usted, por ejemplo:

Personas cerca

Como se puede ver, Telegram me dice lo lejos que están todas estas personas de mí. Cualquiera puede simular su ubicación por tres puntos y usarlos para dibujar tres círculos de triangulación. Para falsificar una ubicación GPS, un atacante puede utilizar una de las siguientes opciones:

  1. Spoofer de GPS de hardware (es muy difícil de conseguir y la FCC le impondrá una multa si utiliza un dispositivo de este tipo).
  2. Root GPS Spoofing (dificultad media).
  3. Simplemente caminar por el área, recopilando la latitud y longitud GPS de usted mismo y qué tan lejos está la persona objetivo (muy fácil).

Para la demostración, elegiré la opción número dos. 

PlayMarket tiene una aplicación llamada GPS spoof. Descargamos e instalamos. Por alguna razón, la aplicación no funciona con Android 11. En su lugar, usé Android 7. Después de eso hay que recopilar 3 ubicaciones de usuario para exponer.

4. Reubicación cerca del usuario dentro de un radio de 7 millas. Este es el límite establecido por Telegram. El usuario objetivo vive en Bay Ridge, así que falsifiqué la dirección de Bay Ridge. Entonces, vamos a recuerdar qué tan lejos está esta persona de ese punto. Repetimos tres veces como se muestra a continuación:

5. Abrimos Google Earth, realizamos la búsqueda por latitud y longitud de ubicaciones falsas y con la ayuda de una regla dibujamos un círculo que indique el usuario objetivo para cada ubicación. Aquí está el resultado:

Por eso no me gusta activar el GPS del móvil

La intersección de los tres círculos es la ubicación del usuario

Para verificar esto, agregamos a uno de los usuarios y le pregunté si vivían cerca del punto.

The best!

Pude averiguar la dirección particular exacta de este usuario. Bueno, Telegram me dijo que esto no es un problema

Si está utilizando esta función, asegúrese de desactivarla. A menos que desee que su ubicación esté disponible para todos.