Fitur Telegram Ini Bisa Ekspos Alamat Pengguna kepada Hacker
Telegram memiliki fitur bernama 'People Nearby' yang memungkinkan pengguna untuk bercakap-cakap dengan pengguna lain di dekatnya atau bergabung dengan kelompok di sekitarnya.
Tapi fitur ini bisa disalahgunakan orang jahat untuk mendapatkan alamat lengkap pengguna.
Fitur ini tidak aktif secara default dan harus diaktifkan secara manual.
Ketika diaktifkan, jarak pengguna akan diperlihatkan ke pengguna lain yang juga mengaktifkan fitur ini dan sedang berada di wilayah yang sama.
Biasanya fitur ini hanya memperlihatkan lokasi seseorang dalam bentuk radius, misalnya 600 meter atau 1 km jauhnya.
Tapi dengan sedikit trik, hacker bisa mendapatkan alamat lengkap pengguna.
Celah ini pertama kali ditemukan oleh pemburu bug Ahmed Hassan. Ia mengatakan fitur People Nearby memungkinkan hacker untuk melacak lokasi persis pengguna.
"Pengguna yang mengaktifkan fitur ini tidak menyadari bahwa pada dasarnya mereka mempublikasikan lokasi persisnya," kata Hassan dalam blognya, seperti dikutip dari Threatpost.
Untuk mendapatkan alamat persis pengguna, hacker bisa memalsukan lokasinya menggunakan GPS palsu.
Untuk memalsukan lokasi GPS, Hassan mengatakan cara paling mudah adalah dengan berjalan kaki di area sekitar, kumpulkan GPS garis lintang dan bujur, dan seberapa jauh lokasi orang yang menjadi target.
Opsi lainnya adalah dengan menggunakan aplikasi GPS palsu yang banyak ditemukan di Google Play Store.
Hassan menjelaskan hacker bisa memalsukan lokasinya di dekat pengguna dalam batas radius 11 km.
Setelah itu mereka akan mengumpulkan data seberapa jauh orang yang menjadi target dari titik tersebut, lalu ulangi langkah ini sampai tiga kali.
Dengan tiga lokasi tersebut, hacker cukup membuka aplikasi Google Earth Pro, lalu memasukkan koordinat lokasi yang telah dipalsukan dan mencari titik tengah di antara ketiga lokasi.
"Titik pertemuan antara tiga lingkaran adalah lokasi pengguna.
Untuk memverifikasi ini, saya menambahkan salah satu pengguna dan bertanya apakah mereka tinggal dekat titik tersebut.
Saya berhasil mendapatkan alamat rumah lengkap pengguna tersebut," kata Hassan.
Celah ini cukup mengkhawatirkan karena menyangkut privasi pengguna.
Hassan mencontohkan pengguna Telegram yang mengaktifkan fitur ini dan alamatnya diketahui hacker bisa jadi sasaran penguntit.
Hassan telah melaporkan temuannya kepada Telegram. Tapi juru bicara Telegram mengatakan isu ini bukan merupakan bug dan mereka tidak berniat untuk memperbaikinya.
"Pengguna di bagian People Nearby secara sengaja membagikan lokasi mereka, dan fitur ini dimatikan secara default," kata juru bicara Telegram kepada Hassan.
"Menentukan lokasi persis dimungkinkan dalam kondisi tertentu. Sayangnya, kasus ini tidak termasuk dalam program bug-bounty kami," sambungnya.
Hal ini cukup disayangkan mengingat Telegram merupakan aplikasi yang mengutamakan keamanan dan privasi pengguna.
Menurut
Hassan cara memperbaiki celah ini mudah saja yaitu dengan membulatkan
lokasi pengguna dan menambahkan noise acak, sama seperti yang dilakukan
Tinder saat mereka menghadapi isu serupa.
0 komentar: