如果你使用的是Android设备——或者在某些情况下是iphone——Telegram messenger应用程序可以让黑客很容易地找到你的确切位置，如果你启用了一项功能，让地理上离你很近的用户连接上你。发现这个泄露漏洞并私下向Telegram开发者报告的研究人员表示，他们没有修复这个漏洞的计划。

这个问题源于一个叫做“附近的人”的功能。默认情况下，它是关闭的。当用户启用它时，他们的地理距离会显示给其他打开它的人，并且处于(或欺骗)同一地理区域。当附近的人按设计使用时，这是一个很有用的功能，几乎没有隐私问题。毕竟，通知某人在1公里或600米之外，仍然会让跟踪者猜测你的确切位置。

跟踪制造简单

然而，独立研究人员艾哈迈德·哈桑(Ahmed Hassan)展示了这个功能是如何被滥用来泄露你的确切位置的。他利用现成的软件和一个已安装了根的安卓设备，能够伪造他的设备向电报服务器报告的位置。通过使用三个不同的位置，并测量附近的人报告的相应距离，他就能够确定用户的精确位置。

Telegram允许用户在一个地理区域内创建本地组。哈桑说，沐鸣开户测速诈骗者经常通过欺骗他们的位置来摧毁这些组织，然后兜售伪造的比特币投资、黑客工具、被盗的社会安全号码和其他骗局。

“大多数用户不明白他们在分享自己的位置，或许还有他们的家庭住址，”哈桑在一封电子邮件中写道。“如果女性使用该功能与本地群组聊天，她可能会被不受欢迎的用户跟踪。”

研究人员发给Telegram的一段概念验证视频显示，当他使用免费的GPS欺骗应用程序让手机报告三个不同的位置时，他可以识别附近用户的地址。然后，他以电报所报的距离为半径，在三个地点各画了一个圈。用户的精确位置是三者的交集。

哈桑要求不要公布这段视频。下面的截图给出了大致的概念。

艾哈迈德·哈桑

要解决这一问题

在一篇博客文章中，哈桑包括一封来自Telegram的电子邮件，沐鸣开户测速回应他发给他们的报告。它指出，附近的人并没有默认启用，“在某些情况下，确定确切位置是可能的。”

Telegram的代表没有回复要求置评的电子邮件。

附近的人对使用安卓设备的人构成了最大的威胁，因为他们会以足够的粒度报告用户的位置，从而使哈桑的攻击发挥作用。相比之下，最近发布的iOS 14只允许用户粗略地透露自己的位置。使用这个功能的人不会暴露。

从技术角度来看，解决这个问题——或者至少让它更难被利用——并不难。将位置四舍五入到最近的英里并随机添加一些位通常就足够了。当Tinder应用程序有类似的泄露漏洞时，开发人员就使用这种技术来修复它。

Telegram的“人在附近”功能的隐私后果很好地提醒了我们，这些功能经常会被滥用，而开发这些功能的人并没有想到这些功能会被滥用。想要保护行踪隐私的用户应该对基于位置的服务持怀疑态度，并在安装或启用它们之前进行研究。