人気のメッセージングアプリ「テレグラム」の「近くの人」機能を使用するとユーザーの正確な位置が明らかになると指摘した研究者は、この機能は予想どおりに機能していると伝えられた。
この機能を有効にすると、数マイル以内にいる他のユーザーのリストが表示され、「近くにいる人を素早く追加したり、ローカルのグループチャットを見つけたり」できるようになります。
アハメド・ハッサン氏は、Android端末の位置情報を偽装するユーティリティを用いて、3つの異なる地点から人物までの距離を測定し、三辺測量によって正確な位置を特定することに成功しました。この手法を用いることで、技術的に難しいものではなく、正確な自宅住所を取得することができました。
三辺測量法を用いて、3つの異なる距離から正確な位置を特定する。写真提供:Ahmed's Notes
ハッサン氏はバグ報奨金を期待してこの問題を報告したが、返答はこうだった。「近くのユーザーセクションのユーザーは意図的に位置情報を共有しており、この機能はデフォルトで無効になっています。特定の条件下では正確な位置情報の特定が可能になると予想されます。」
「地図上に自分の位置情報を表示する機能を有効にすると、自宅の住所をオンラインで公開することになります。多くのユーザーは、この機能を有効にする際にこのことに気づいていません」とハッサン氏は述べた。
また、悪意のあるユーザーが位置情報を偽装したり、地元のグループに参加したり、偽のビットコイン投資やその他の詐欺でユーザーにスパムを送信したりするといった問題が広まっていると彼は考えており、これはアプリケーションのセキュリティが不十分であることの証拠だと主張している。
FAQの中でTelegramは、セキュリティプロトコルに基づいて「WhatsAppやLineなどの大衆向けメッセンジャーよりも安全」であると主張しているが、悪意のあるユーザーからのリスクについては触れていない。
「自分の情報を表示する」オプションが「自分の住所を知らない人と共有する」と表示されていたら、あまり人気が出なかったかもしれない。
同様の位置情報問題は以前にも他のアプリで発生しています。ハッサン氏はLINEメッセージアプリでも同じ脆弱性を発見し、「ユーザーの位置情報にランダムな数字を追加することで修正した」と述べています。
昨年、Stravaユーザーのアンドリュー・スワードさんはこう述べています。「今朝、新しいルートを走っていたら、ある女性が私の横を走り抜けました。ただ通り過ぎただけなのに、家に帰るとStravaが自動的に彼女のランニングにタグ付けしてくれました。彼女の顔をクリックすると、彼女のフルネーム、写真、そしてランニングルートの地図(つまり、彼女の住んでいる場所がわかる地図)が表示されます。」
近くにいるユーザーの位置情報を取得することは、デジタルデバイスに限った問題ではありません。例えば、見知らぬ人が誰かの自宅まで尾行することもあります。また、多くの国では、地名、住所、電話番号を記載した巨大な印刷された電話帳がほぼすべての家庭に配布されていたのも、それほど昔のことではありません。英国では、BTのオンライン電話帳サービスが今でも人物検索機能を提供しており、オプトアウトしていないユーザーであれば住所情報も確認できます。
とはいえ、Telegramは改善の余地がある。Android端末にTelegramをインストールしたところ、「近くにいる人」を有効にして「プロフィールを表示」を選択すると、「近くにいるユーザーがあなたのプロフィールを閲覧し、メッセージを送信できるようになります。新しい友達を見つけるのに役立つかもしれませんが、過剰な注目を集める可能性もあります」という警告が表示される。
少しの知識があれば、見知らぬ人が簡単にあなたの住所を見つけられるとは書かれていません。前述のFAQにも、そして「技術に詳しい方向け」の上級FAQにも、この点は触れられていません。ほとんどの焦点は暗号化にあります。
Hacker News で議論されているように、Apple は昨年の開発者イベントでこの件についてコメントし、位置情報は要件に合わせて調整する必要があり、「ほんの少しの位置情報を共有することが、アプリの期待される機能にとって意味がある」場合があると述べています。
Appleはイベントで開発者に対し、「iOS 14以降、ユーザー向けのプロンプトに新しいオプション「精密」が表示されます。このオプションを使用すると、ユーザーはアプリに正確な位置情報ではなく、おおよその位置情報のみを付与できます」とも伝えた。
同社はさらに、「本当に必要なときだけ完全な正確性を求めると、ユーザーが必要なものを提供してくれる可能性が高くなる」と付け加えた。
Telegram の要件の場合、正確な距離を公開するのではなく、たとえば半径 7 マイル以内にいるユーザーを報告するだけで十分かもしれません。
Telegram の現在の動作がバグであるかどうかは議論の余地がありますが、透明性が向上し、より近似した、またはわずかにランダムな距離を示す機能が歓迎されます。
Telegramにコメントを求めました。®
