Anzeige

Telegram: Benutzerstandort lässt sich unter Umständen herausfinden

Vielleicht als interessanter Reinholer: Der Messenger Telegram erlaubt es, Gruppen zu erstellen. Auch solche, die auf Basis eines Ortes arbeiten. Ebenso ist es dem Nutzer optional möglich, seine ungefähre Entfernung für andere Nutzer in der Nähe freizugeben. Diese Tatsache hat sich jemand zunutze gemacht. Mittels GPS-Spoofing hat er sich an verschiedene Orte in die Nähe eines anderen Nutzers gebracht. Das kennt ihr vielleicht schon selbst, Spammer, die euch bei Telegram anschwatzen müssen nicht zwingend aus eurer Nähe sein, auch wenn sie im Nearby-Bereich auftauchen.

Der langen Rede kurzer Sinn. Ein „Angreifer“ könnte mittels GPS-Spoofing „in eurer Nähe sein“, die Standortkoordinaten / den Radius in Google Earth Pro übertragen und am Ende über die Schnittpunkte ungefähr wissen, in welchem Bereich ihr euch aufhaltet, Trilateration quasi. Telegram bestätigte das Ganze, sieht aber darin derzeit keine Sicherheitslücke, die unter das Bug-Bounty-Programm fällt. Falls ihr kontrollieren wollt, ob ihr die Funktion vielleicht unbewusst aktiviert habt: Kontakte > Leute in der Nähe finden.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei LinkedIn, Twitter, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

15 Kommentare

  1. Ehm ja, so funktioniert das Feature ja auch? Wo ist die News?

    • Das Problem ist, dass für die Funktion der genaue Standort des Benutzers benutzt wird und erst anschließend die Entfernung ungenau angegeben wird. Korrekterweise muss aber bereits der Standort des Benutzers verfälscht und damit ungenau sein, um eine Trilateration (es ist keine Triangulation wie im Artikel behauptet!) zu vermeiden.

      Vereinfacht gesagt kannst du die ungenaue Entfernung mit genügend Datenpunkten rausrechnen und damit an den darunter liegenden Standort zu kommen. Wenn aber bereits der Standort ungenau (verfälscht) ist, kannst du diese Ungenauigkeit wiederum nicht rausrechnen. Das haben auch schon ein paar Datingapps festgestellt, bei denen es ähnliches Problem gab.

      • Du hast Recht. Keine Winkel.

      • Nimm einfach Telegram die Berechtigung auf den Standort und das Problem ist gelöst. Grundsätzlich sollte man jeder App die Berechtigungen entziehen die nicht nötig sind. Mein Telegramm hat weder Zugriff auf den Standort noch auf die Kontakte somit betrifft mich das „Feature“ nicht.

  2. Interessierter says:

    Für Datenschutz interessierte mit Android kann ich stets nur XPrivacyLua (Root nötig) ans Herz legen. Richtig konfiguriert (zeitaufwändig aber Schwierigkeitsniveau ist eher mittelmäßig), ist man vor diversen „Sicherheitslücken“ der Apps geschützt, zusätzlich zum grundsätzlichen Ziel die eigenen Daten vor dem alltäglichen zu schützen.
    Oder anders gesagt, wenn man schon die App nicht an die richtigen Daten lässt, dann schafft es auch kein Dritter mit ihrer Hilfe.

    • XprivacyLua kann aber nicht die Sicherheitslücken im System beheben. Dantenschutzinterresierte sollten sich also ein Pixel kaufen und GrapheneOS installieren, weil was nützt es das Tracking von Apps zu unterbinden wenn Google immer noch alle Daten auf dem Silbertablett geliefert bekommt.

      • Weil Google relativ gut auf diese Daten aufpasst. Ein Verlust würde die Konkurrenz stärken, weil der Datenpool ist für die Marktmacht wichtig. Andere Dienste, die ihr Geschäft nicht mit Vorsprung durch Wissen machen, für die ist ein Verlust weniger tragisch, entsprechend spart man dann an der Absicherung.

        • Google soll auf die Daten aufpassen, ist das Satire oder wirklich ihr Ernst? Erklären sie mir bitte wie es „die Konkurrenz“ stärken soll wenn keiner meine Daten bekommt?

          • Googles Stärke ist das Wissen und ausführliche Profile, somit wenn deren Daten abhanden kommen würden, dann hätten sie kein Geschäftsmodell mehr, somit sind dort die gesammelten Daten sicher.

            Ansonsten kannst du natürlich in die digitale Steinzeit gehen und keine Online-Dienste mehr nutzen. Aber wenn man die Dienste von Google nutzt, dann kann man sicher sein das dort seine Daten ziemlich sicher sind. Für die gegebenen Daten erhalt man bei Google eben auch einige Vorteile.

            • Falsch, Google verkauft die Daten. Denn nur mit den gesammelten Daten können zielgerichtete Werbung geschaltet werden. Zusätzlich arbeitet Google mit FBI, CIA,… zusammen und gibt die Daten direkt weiter. Zu glauben die Daten sind bei Google sicher ist an Naivität kaum zu überbieten.

              Warum soll ich mich in der Digitalen Steinzeit befinden wenn ich keine Dienste von Google verwende? Eine Alternative zu Google Maps ist z.B. Openstreetview und mit OSRM sogar Routingfähig und erst recht noch viel genauer. Auf dem Handy OsmAnd+…

          • Es ist ja nicht so, also würde Google die Daten der Nutzer „einfach so“ in alle Welt hinaus posaunen …

  3. Die Möglichkeit der Trilateration des Standorts ist wohl eher ein neuer Betrachtungswinkel, als ein Problem. Ebenfalls geht das Problem nicht von Telegram, sondern vom User aus – dieser muss seinen Standort aktiv für die Öffentlichkeit freigeben. Wenn ich meinen Standort public mache, muss ich damit rechnen, dass mein Standort public wird.
    Danke aber für den Hinweis, dass es die Möglichkeit gibt – wieder was gelernt.

    • Hier ist doch die Frage, wozu das Feature in Telegram angeboten wird: Um Leute in der Nähe finden zu können, beispielsweise, um sich auf einer Konferenz oder einem Festival zu vernetzen. Wenn ich gerade so um mich gucke, wird es auch für Dating genutzt, in meinem Umfeld haben 2XX Leute dieses Feature aktiv, teilweise mit eindeutigen Profilen.

      Für das Feature, so wie es beworben wird, wäre aber die exakte Entfernung, aus der sich ja die Position bestimmen lässt, gar nicht notwendig. Daraus ergibt sich das Problem: Es werden Daten geteilt, die nicht notwendig wären. Das Problem geht also von beiden Seiten aus, Anwender und Telegram: Der Anwender müsste das Feature gar nicht aktivieren (dann ist seine Position auch sicher), er geht aber vielleicht davon aus, dass die Position bei der Aktivierung dieses Features ähnlich sicher ist, wie beispielsweise bei Tinder und ist sich des Risikos nicht bewusst.

    • In der Tat ein spannender Ansatz. Telegram hat für dieses Feature einen Radius von ca. 11 km festgelegt. Wenn man sich auf die Städte beschränkt dürfte man mit 200 gespooften Standorten den Nutzer lokalisiert haben. Programme dafür sind vorhanden, die haben sich die Leute damals schon für die Pokemonjagd zusammengebaut. 200 Fake-Telegram-Nutzer, die ihr „Leute in der Nähe“-Feature rund um die Uhr eingeschaltet haben dürften auch nicht weiter auffällig sein (es sei denn Telegram überwacht den Nutzerstandort und stellt fest, dass sich solcher über Wochen hinweg nicht bewegt).

      Damit hätte man dann ein System, dass einem meldet sobald der Nutzer seinen Standort teilt und innerhalb weniger Sekunden den genauen Ort bestimmen kann. Und das zu minimalen Kosten und quasi für jedermann machbar.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bevor du deinen Kommentar abschickst:
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.