Как узнать геолокацию человека по телеграмму
Мы начинаем погружаться в интереснейший мир Телеграмного OSINT-а.
Итак. как и ВКонтакте, каждый пользователь Telegram имеет уникальный и неизменяемый идентификационный номер ID, а также (по желанию) никнейм (имя с «собачкой»). Кроме этого, пользователи могут указывать свои имя и фамилию.
Чтобы получить эти данные следует воспользоваться парой Telegram-ботов:
‼ Пользователь может в любой момент поменять никнейм или номер привязанного мобильного телефона. Но его ID останется неизменным. В связи с этим установление точного идентификационного номера представляется важным элементом расследования.
В проиндексированной части Telegram есть свой поисковики, которые позволяет найти не только словосочетания, но и сообщения конкретного автора:
Ну а кроме этого, получить сведения об участии пользователя в открытых чатах поможет бот @telesint_bot. Поиск в нем ведется по никнейму или ID.
Выгрузить никнеймы всех участников Telegram-чатов можно при помощи бота @list_member_bot
Как узнать номер телефона, привязанный к тому или иному профилю в Telegram?
Зайдите в бот Телеграм-Деанонимайзер @deanonym_bot. Запросите у бота данные по никнейму (без @) или идентификационному номеру (ID) пользователя. Можно и просто переслать боту любое сообщение проверяемого пользователя. Если данные о телефоне пользователя уже есть в базе, то бот их предоставит бесплатно. База сервиса содержит информацию по 29 млн. пользователям Telegram со всего мира.
Кроме Телеграм-Деанонимайзера в сети еще есть сервис: https://anonimov.net/
Если данных о пользователе пока нет в Телеграм-Деанонимайзере, то вы можете идентифицировать его самостоятельно. Для начала выберите один из ботов представленных ниже:
Поиск телефона по профилю Telegram
Доступ в группы и чаты
Поиск информации по номеру телефона
Как еще узнать номер телефона пользователя Telegram? В чате с собеседником нажать «Отправить свой телефон» и дождаться, когда он в ответ пришлет любое сообщение. С этого момента в приложении станет видно его телефон, если только собеседник не занесет пользователя в черный список.
Через Telegram можно узнать реальный адрес человека. И для этого не нужно быть хакером
Telegram позволяет за несколько минут вычислить точные координаты своих пользователей, использующих встроенный сервис «Люди рядом». Алгоритм обнаружения прост, что дает возможность следить за нужным человеком даже тем, у кого нет никаких навыков хакинга. Аналогичная брешь была обнаружена в японском мессенджере Line несколько лет назад, но разработчики очень оперативно устранили ее.
Слежка при помощи Telegram
В мессенджере Павла Дурова Telegram обнаружена уязвимость, позволяющая определять точное местонахождение любого пользователя. Об этом в начале января 2021 г. сообщил в своем блоге пользователь Ахмед Хасан (Ahmed Hassan), обнаруживший, что можно вычислить очень точные координаты тех, кто пользуется Telegram.
Уязвимость скрывается в сервисе «Люди рядом», встроенном в мессенджер. С его помощью можно находить пользователей Telegram, находящихся поблизости – их место дислокации определяется по GPS-координатам и отслеживается в реальном времени. Сам мессенджер не раскрывает координаты пользователей, а лишь указывает точное расстояние до них, но этого уже достаточно для вычисления их местоположения и даже адреса проживания, если они подключились к Telegram из дома.
Сервис «Люди рядом» был добавлен в Telegram в июне 2019 г. и первоначально носил название «Люди поблизости». В феврале 2020 г. он получил обновление до версии 2.0.
Как работает уязвимость
Для вычисления координат того или иного человека в Telegram, по словам Ахмеда Хасана, нужно использовать метод триангуляции. На первом этапе нужно три раза изменить собственное местоположение, фиксируя при этом расстояние до нужного пользователя и свои же GPS-координаты.
Затем нужно на карте местности начертить три окружности, центром которых будут собственные координаты, а радиусом – расстояние до объекта слежки, указанное в Telegram. Этих простых действий достаточно, чтобы определить, где он находится – он будет там, где все три окружности пересекутся на карте.
Важный момент: отследить таким способом можно тех людей, кто пользуется в Telegram функцией «Люди рядом». Она требует включенного GPS-модуля, и объектом слежки может оказаться каждый. Для предотвращения всех попыток отследить ваше место дислокации третьими лицами при помощи данной уязвимости нужно прекратить пользоваться сервисом «Люди рядом» и отозвать у Telegram разрешение на доступ к геолокации.
Следить могут за каждым
Отследить местоположение пользователя Telegram можно вне зависимости от того, в какой стране или в каком городе он проживает. Например, спустя несколько дней после публикации статьи Ахмеда Хасана и его тестов, проведенных в Нью-Йорке (США), исследователь Андрей Копелян опубликовал на своем сайте Debug Pro результат использования уязвимости мессенджера в Нур-Султане (Казахстан).
Он скачал из Google Play одно из приложений-трекеров, использующих GPS, выбрал в Telegram совершенно случайного пользователя, применил алгоритм с тремя окружностями, и через несколько минут у него на руках был точный адрес этого человека, вплоть до дома.
По словам Андрея Копеляна, Telegram позволяет полностью идентифицировать пользователя при использовании дополнительной информации. Так, человек, которого он выбрал для проверки метода слежки, оставил номер своего телефона в открытом доступе, а также опубликовал свою реальную фотографию. Исследователь отметил, что при использовании поисковых систем, того же Google, можно будет найти дополнительные сведения об этом человеке, например, его страницы в соцсетях.
Дурной пример заразителен
Возможность отследить человека через функцию «Люди рядом» (в английской версии – People Nearby), впервые появилась вовсе не в Telegram – изначально такой «сервис» предоставлял японский мессенджер Line. Аналогичную уязвимость одноименной функции в нем обнаружил все тот же Ахмед Хасан.
Хасан связался с разработчиками Line и указал им на обнаруженную проблему. Те оперативно отреагировали на замечание и закрыли брешь в приложении – оно по-прежнему позволяет общаться с людьми поблизости, но теперь к их местоположению прибавляется произвольно взятое число, чтобы отследить их было невозможно.
«Дыры» в Telegram
Telegram, считающийся одним из самых безопасных мессенджеров, на самом деле содержит множество уязвимостей. Например, в августе 2019 г. в нем была обнаружена лазейка, позволявщая властям различных стран вычислять номера телефонов тех, кто участвует в тех или иных акциях протеста и числится в соответствующих группах в мессенджере. Проблему обнаружили эксперты из Гонконга, где на тот момент как раз проходили многотысячные протесты.
В августе 2020 г. выяснилось, что Telegram допускал создание поддельного профиля, маскирующегося под «Избранное», в которое пользователи часто помещают важную информацию, включая фотографии и пароли. Хакеры могли написать пользователю с такого поддельного аккаунта, после чего он начал бы хранить эти сведения в поддельном «Избранном», открывая тем самым доступ к ним третьим лицам. Разработчики оперативно устранили эту брешь.
В сентябре 2020 г. CNews рассказывал, что Telegram «сливал» номера телефонов своих пользователей, притом даже и тех, кто в нем не зарегистрирован. Это давало возможность хакерам и просто третьим лицам вытащить всю информацию из их профилей и в дальнейшем использовать ее для создания поддельных аккаунтов с целью мошенничества. Здесь стоит отметить, что аналогичная проблема была обнаружена также в мессенджерах Signal и WhatsApp, известных своей развитой системой безопасности.
Геопозиция в Телеграм — ТОП-3 фишки и инструкция по использованию
С момента выпуска обновления Телеграм версии 4.4 пользователи мессенджера могут отправлять друг другу свою геолокацию (геопозицию). Новая функция Live Location не только поможет поделиться местоположением, но и позволит собеседнику ежесекундно отслеживать ваши перемещения — при помощи функции трансляции. О том, как скинуть геопозицию и как транслировать ее в Телеграм — читайте далее.
Чем полезна возможность делиться местоположением
Функция передачи местоположения может не раз выручить вас в ситуациях, когда нужно срочно объяснить человеку, где вы находитесь.
С ее помощью собеседник сможет с точностью до метра определить ваши текущие координаты.
Особенно полезна эта функция на массовом мероприятии или при попадании на незнакомую территорию, где вы не ориентируетесь.
Больше не придется искать ориентиры, чтобы объяснить, где вы, ровно как и пытаться перекричать музыкантов на концерте, рассказывая собеседнику, у какого входа вы стоите.
Live Location сильно упростил жизнь пользователям Телеграм. Причем передача местоположения происходит мгновенно. Если у вас, конечно, нет проблем с интернетом.
Поделиться своими координатами можно только со смартфона.
Как отправить геолокацию в Телеграм
Чтобы поделиться геолокацией в Телеграм, вам нужно выполнить всего 5 шагов:
Открыть мессенджер Телеграм.
Выбрать чат с тем человеком, с которым собираетесь поделиться геолокацией.
Нажать на значок скрепки в углу чата.
Выбрать в Телеграм параметр «Геопозиция».
Нажать на пункт «Отправить геопозицию».
Куда Телеграм сохраняет все файлы? Вы можете узнать ответ в нашей специальной статье.
Как транслировать геопозицию в Телеграм
Трансляция местонахождения позволит не только поделиться своим местоположением с человеком, но и дать ему возможность отслеживать ваши передвижения в течение выбранного периода времени.
Запустить трансляцию геопозиции в Телеграм для одного пользователя можно максимум на 8 часов.
Как поделиться трансляцией геолокации:
Зайдите в Телеграм.
Нажмите на значок скрепки.
Выберите параметр «Геопозиция».
Нажмите «Транслировать геопозицию».
Выберите подходящее время трансляции — 15 минут, час или 8 часов.
Вы умеете отправлять голосовые сообщения? Подробно, как это делать мы рассказали в этой статье.
Полезные плюшки геолокации в Телеграм
Есть 3 полезных особенности, которые могут расширить ваши возможности при передаче местоположения другому человеку:
Самостоятельное определение местоположения — если вы точно знаете, что через какое-то время переместитесь в другое место, тогда можно переместить красную метку на карте и отправить собеседнику координаты будущей геопозиции.
Выбор периода live-трансляции — вы можете дать возможность человеку отслеживать ваше местоположение в течение 8 часов.
Можно поделиться адресом одного из ближайших заведений — вам будет доступен готовый список мест, которые находятся рядом.
Как настроить или удалить геолокацию
Предоставленную геолокацию можно рассматривать в трех разных режимах:
Чтобы выбрать подходящий режим, нужно перейти в геопозицию, которую отправил вам пользователь. Дальше в зависимости от того, смартфон у вас на базе Android или iOS, вы нажимаете или на три точки в правом верхнем углу, или на буковку « i ».
Транслировать свою геолокацию можно сразу нескольким людям. Информация о нынешних трансляциях будет отображаться над общим списком чатов.
Удаление геолокации
Удалить отправленную геолокацию так же просто, как и обычное сообщение. Нажимаете в (зажимаете на iOS) область пересланного местоположения и выбираете действие «Удалить».
Итак, вы разобрались, как скинуть свою геолокацию собеседнику. Пора узнать еще что-нибудь новенькое по использованию Телеграм.
Кстати, вы знаете, как понять, что вас заблокировал другой пользователь? Подробно эту тему мы разобрали в другой нашей специальной статье. Прочтите ее!
Раскрытие номера телефона и геолокации через уязвимость в Телеграме
Последнее время в Telegram все чаще обсуждаются темы пробива людей и утечек персональных данных. Мне стало интересно, а насколько сама экосистема Telegram устойчива к подобным утечкам.
Под катом история о том, как я нашел баг в Telegram. Баг позволяет ввести в заблуждение пользователя, и подтолкнуть его неосознанно поделиться своими данными — геолокацией и номером телефона.
Вот как это работает:
Сложность системы всегда была врагом безопасности.
Telegram вырос, уже перестал быть просто мессенджером, и дорос до большой медиа платформы с богатым функционалом. Отдельным особняком стоит Telegram Bot API, позволяющее выстраивать целые приложения внутри мессенджера — так называемых ботов.
Скорее всего каждый, кто пробовал создать своего бота, уже знает, что пользователю можно отправить запрос его номера телефона с помощью специальной кнопки.
Текст на этой кнопке можно задать любой. Причём такие же кнопки бот может использовать и для других взаимодействий:
После нажатия на кнопку, пользователю конечно же будет показано предупреждение что сейчас его контакт будет отправлен боту:
Это сообщение довольно однозначно говорит о риске деанонимизации, и предостерегает вдумчивого пользователя от опасных для него действий.
Перебирая обновления API, я вспомнил, что в какой-то момент Telegram дал пользователям возможность делать собственные локализации мессенджера. Были примеры, когда локализацию использовали для шуточных переделок интерфейса. В тот момент мне пришла в голову та же мысль, что и возможно вам сейчас:
А что, если попробовать “шуточно перевести” диалоговое окно, предупреждающее пользователя о передаче номера телефона боту, заменив его текст?
Вначале я думал, что заставить пользователя установить в приложение посторонний xml файл-локализацию будет намного сложнее, чем просто убедить кликнуть на Share contact. Ведь именно так, с помощью xml файла, Telegram предлагал распространять свои локализации среди собеседников.
Так я думал, пока не наткнулся в исходных кодах android приложения на обработчик ссылок setlanguage.
Оказалось, что в Telegram уже давно сделали платформу переводов, translations.telegram.org, доступную для всех пользователей Telegram, и теперь не нужно передавать никаких xml файлов.
Достаточно кликнуть по ссылке t.me/setlanguage/%lang%, после чего пользователь увидит диалоговое окно с запросом установки нового языка. И это окно значительно менее отпугивающее, чем сообщение о запросе номера телефона:
Как это работает?
Добавляем свой язык, переводим нужные нам элементы интерфейса и еще парочку других.
В локализации можно писать все что угодно. Мы напишем безобидный текст вместо ужасного предупреждения о расшаривании геолокации и номера телефона. Проделываем тоже самое для остальных платформ.
Наш ядовитый язык готов. Осталось подсунуть его пользователю.
Мне так и не удалось найти способ узнать установил ли пользователь предложенную ему локализацию. Не нашлось ни статистики языка на translations.telegram.org, ни изменений в профиле пользователя. Bot api позволяет узнать язык пользователя через параметр language_code, но его значение берется из системных настроек. Смена языка в приложении на параметр никак не влияет.
Что ж, тогда просто добавляем небольшую задержку после сообщения с ссылкой на язык. После выбора языка предлагаем пользователю ознакомиться с меню бота. При нажатии Ок в данном диалоговом окне, номер утекает к боту сообщением, а бот это сообщение тут же удаляет. Если бот будет использовать webhook для получения обновлений, то сообщение удаляется быстрее и пользователь возможно и не поймет что он только что отправил свой контакт.
Кстати, аналогично запросу контакта бот может попросить пользователя расшарить его геолокацию. Да, и это диалоговое окно тоже можно “перевести”.
Как исправить
Очевидно нельзя давать возможность пользователям переводить абсолютно весь интерфейс без модерации. Модерация переводов кстати включена для например вот этого диалогового окна translations.telegram.org/rutech/ios/unsorted/AuthCode.Alert. О необходимости модерации нам сообщает метка Critical.
Выходит что вот такое маленькое упущение как отсутствие метки Critical для диалогов о расшаривании номера и геолокации приводят к утечке. Утечке весьма чувствительных данных, как для мессенджера строящего свой маркетинг вокруг privacy/security.
Мессенджер привязаный к вашему личному номеру телефона по определению не может быть приватным. Он может лишь удорожить процесс раскрытия вашей личности.
Данная уязвимость попала в программу bug bounty телеграма и была оценена в 100€.
Заходите к нам в Telegram чат @secinfosec. Там мы делимся опытом и обсуждаем всё что касается информационной безопасности: баг баунти, пентесты, бумажную и практическую безопасность, новые угрозы и методы борьбы с ними.
Planw rld.ru
Это подборка самых интересных Telegram ботов для пробива личной информации. Хотите узнать кому принадлежит номер телефона? Или же интересен определенный сайта? Пробив по ИП, их отчеты и декларации. Соучредители и партнеры фирм. Какие машины принадлежат абоненту данного номера. И многое, многое другое.
Если вам интересна криптовалюта, обязательно заходите на мой Telegram канал. Там я публикую интересные сценарии поведения рынка. Где и куда лучше зайти, когда выйти. Очень полезно, а главное бесплатно!
@whoisdombot — этот Telegram бот пробивает основную информацию о интересующем вас домене (адресе сайта). Т.е. его текущий IP-адрес, а также IP зеркала, прошлые IP. Позволяет задать dig + trace запрос о домене. Дата регистрации, данные о регистраторе и т.д. Отличный бот
@vkfindface_bot — бот для поиска профиля человека в ВК по фотографии. Работает отлично, тестировал на своей фотке — нашёл все старые аккаунты. Обязательно сохраните себе, пригодится.
@mailsearchbot — (telegram так же закрыло доступ к нему, сейчас много фейков не рабочих фэйков) С помощью данного Telegram бота я, с удивление для себя, узнал, что большинство паролей к моей почте были скомпрометированы. Потрясающий бот. Он способен пробить большинство email-ов, благодаря своей огромной базе. Условно бесплатное пользование. К сожалению на сегодня бот удалён, но есть схожий сайт https://haveibeenpwned.com/
@clerkinfobot — Telegram бот для пробива номера телефона по базе GetContact. Имеет возможность искать объявления по номеру телефона. Поиск номера телефона по нику Telegram. Поиск по паспорту и прочее. Работает неплохо, но база GetContact на данный момент недоступна, возможно в ближайшем будущем что-то поменяется.
@EyeOfGodOnionBot — (используйте поиск Telegram, ссылку постоянно меняют) бот Глаз Бога. Поиск информации по номеру телефона, фотографии, электронной почте, Telegram аккаунту, авто и другое. Особо понравилась возможность узнать подписки на группы Telegram. Условно бесплатный.
@bmi_np_bot — Telegram бот для пробива сотового оператора и региональной принадлежности по номеру телефону. Ну плюсом ещё часовой пояс показывает. Работает отлично.
Если вам интересна криптовалюта, обязательно заходите на мой Telegram канал. Там я публикую интересные сценарии поведения рынка. Где и куда лучше зайти, когда выйти. Очень полезно, а главное бесплатно!
Советую посмотреть еще несколько подборок про инлайн ботов — это те боты которые можно использовать прямо в группах. А также подборку полезных и развлекательных ботов. Возможно я пропустил какие-то интересные Telegram боты по пробиву. Расскажите в комментариях о своих любимых ботах.
Быстрые игры Telegram Gamee — зацени новый обзор и играй
Возможно вы откроете для себя много интересного поглядев рубрику Telegram или отфильтровав все записи по метке Telegram Боты
Очень часто встречаются совершенно липовые боты, которые нацелены исключительно на то, чтобы взять с вас деньги. Или задурить вам голову, такие как Узнать номер телефона Get Contact, буквально недавно рассматривал этого чудо бота, цель которого так и осталась за ширмой.
Каналы и чаты в Telegram
Дневник Джека если вы любите криптовалюты, то этот Telegram канал для вас. Только дельные советы, когда купить, что купить, какие монеты лучше, всё это и не только на моем телеграм канале. А самое главное как всегда бесплатно
Чат Криптовалюта все любители криптовалют добро пожаловать!
Канал HYIP PW специально для админов HYIP-проектов, да и не только. я там публикую все свои секреты 🙂
Чат HYIP если вам знакомы такие вещи как H-Script, GoldCoders, HSbuilder ждём вас в нашем чате HYIP админов.
