Come Telegram si trasforma in un localizzatore GPS

Articolo di Stefano Bennati, associato Privacy Network

Dopo l’annuncio dell’aggiornamento alla privacy policy di Whatsapp, moltissimi utenti sono migrati ad altre piattaforme di messaggistica istantanea.

Telegram è una delle piattaforme che ha visto maggiore influsso di nuovi utenti, a fronte delle ampie funzionalità del software, che a volte lo fanno sembrare più un social network che una piattaforma di messagistica.

Tra le diverse funzionalità offerte, ce ne sono due particolarmente rilevanti sul piano della privacy:

• La crittografia end-to-end (solo per le chat segrete)

• La funzione “people nearby”

Per assicurare la privacy delle comunicazioni e delle persone è necessario implementare una serie di tecniche (tra cui la crittografia) e considerazioni che prendono il nome di “Privacy by Design” (o “Data Protection by Design, come descritto dall’articolo 25 del GDPR).

I problemi della funzione “people nearby

La funzione “People Nearby” di Telegram rivela ad un utente la lista di persone nella zona, includendo i loro nomi e la loro distanza dalla posizione dell’utente.

In questo modo gli utenti hanno modo di conoscere nuove persone, e iniziare a chattare. Proprio come un social network.

Purtroppo, telegram non sembra aver adottato misure tecniche tipiche della Privacy by Design, come l’alterazione delle distanze in modo precauzionale, arrotondando i valori mostrati.

Dei ricercatori hanno recentemente mostrato che è possibile risalire all’ubicazione precisa di un utente, semplicemente partendo dalle informazioni disponibili nella funzione “people nearby”.

La triangolazione delle posizioni

I ricercatori sono riusciti a calcolare la posizione di alcuni utenti Telegram utilizzando la tecnica della triangolazione.

La triangolazione è la stessa tecnica utilizzata nella tecnologia GPS, dove la posizione di un dispositivo è calcolata partendo dalla distanza rispetto a tre o più satelliti.

A differenza dei satelliti GPS, i ricercatori non hanno dovuto muoversi dal loro ufficio: si sono mossi “virtualmente” grazie ad alcune App che permettono di falsificare la posizione del proprio dispositivo.

In questo modo sono riusciti con poco sforzo ad ottenere la distanza di uno specifico utente rispetto a tre o più punti a piacere, e quindi calcolarne la posizione precisa.

Una progettazione più attenta della funzione “People Nearby”, per esempio comunicando le distanze arrotondate invece delle distanze precise (100 metri invece di 172 metri) avrebbe richiesto un numero molto più alto di punti per calcolare la posizione precisa e quindi avrebbe reso questo attacco più difficoltoso.

In conclusione, i ricercatori hanno dimostrato un attacco che permette di localizzare con precisione specifici utenti Telegram.

Questo tipo di attacco non sfrutta una vulnerabilità di sicurezza o un bug, ma si tratta di un abuso di una funzione ufficiale di Telegram.

Telegram non sembra però intenzionato, per ora, a correggere questa funzionalità.

Guardando il lato positivo, l’attacco è di tipo mirato, e richiede di conoscere la posizione approssimativa della vittima, quindi difficilmente potrà essere utilizzato per sorveglianza di massa degli utenti.