Android-клиент Telegram уличили в раскрытии местоположения пользователей

Один из клиентов для Android мессенджера Павла Дурова Telegram передавал в открытом виде данные о местоположении пользователей, которыми они делились друг с другом. Ошибка в работе клиента была описана в блоге hackapp.

Telegram позволяет пользователям не только обмениваться текстовыми сообщениями, фотографиями и видео, но и делиться координатами того или иного места на карте (по умолчанию это информация о местоположении отправителя). Также в мессенджере реализованы «секретные чаты»: по утверждению разработчиков, содержимое переписки нельзя прочитать ни перехватив трафик, ни даже взломав серверы Telegram.

Автор блога hackapp решил изучить безопасность «секретных чатов» на примере Android-клиента Telegram. Он пересылал сообщения между клиентом на смартфоне и приложением, запущенным на виртуальной машине, прослушивая передаваемый трафик.

В ходе проверки выяснилось, что при пересылке геотегов приложение отправляет незашифрованный запрос к API Google, чтобы получить необходимый фрагмент карты. Таким образом, злоумышленник, перехватывающий трафик, может получить информацию о местоположении одного из пользователей.

Представители Telegram написали в комментариях к посту, что один из клиентов действительно обращался к серверу Google по незащищённому http-каналу вместо https. Ошибка уже была исправлена в коде приложения и скоро обновлённая версия появится в магазине приложений Google Play. Автора исследования попросили связаться с разработчиками, чтобы получить награду за найденную уязвимость, но размер вознаграждения не уточнили.

Автор hackapp, рассказывая о своей находке, привёл «практический» пример: «Если мистер [Эдвард] Сноуден отправит через Telegram своё местоположение кому-либо, кого прослушивает АНБ, всего один "Томагавк" сможет удовлетворить [главу АНБ] мистера Александера». Павел Дуров в разговоре с TJournal подчеркнул, что он на месте Сноудена не стал бы ни в каком виде передавать геолокационные данные, так как они в любом случае станут известны Google.

Во всяком случае, это очень сложно назвать багом. Фактически равносильно тому, что Вы переслали ссылку в секретном чате. Если Вы параноик, любые ссылки (включая геолокационные) вообще лучше не пересылать и не открывать.Павел Дуров, создатель «ВКонтакте» и Telegram

У Telegram есть два основных клиента для Android, которые разрабатывались в рамках конкурса, объявленного Дуровым 16 июля. Выигравший в конкурсе клиент (он был промаркирован как N-Edition) получил право называться официальным, а другой, Telegram S-Edition, занял второе место.

Автор исследования не уточняет, какое из этих приложений он использовал. Но из скриншотов к статье видно, что на смартфоне у него запущен неофициальный клиент S-Edition, а в виртуальной машине — официальная версия приложения. Это можно понять, к примеру, по аватаркам, которые присваиваются контактам по умолчанию.

Из поста hackapp следует, что запрос в Google в открытом виде передавался именно из виртуальной машины, следовательно ошибка была в официальном клиенте Telegram под Android. TJournal проверил официальную версию мессенджера под iOS и установил, что там данные о местоположении передаются в зашифрованном виде.