Comments 80
Никогда не включайте этот гиморный «люди рядом». Телеграму насрать на спам, он с ним не борется.
Аватарки в уведомлениях на которых бабы с раздвинутыми ногами выпрыгивают на мониторе в самый неподходящий момент… Мне уже пришлось 10ти летнему сыну объяснять, что это не мои друзья.
Это такой прикол от телеграма.
1. Все врут и точно не стоит верить на слово в Интернете.
2. Месье мог иметь общение именно с такими с девушками в Париже, которые ему пишут.
3. Если смена «Юзера» не помогает — возможно «утек» сам номер телефона — опять же, как он попал тем самым девушкам не ясно.
Я бы посоветовал (хотя советов-то никто и не просил):
4. Не хотите спама в любом виде — не ведите публичную деятельность и не пользуйтесь онлайн сервисами и мессенджерами.
5. Не можете без онлайн присутствия — сделайте себе «спам» телефон и электронную почту.
От всяких глюков действительно помогает удалить и заново завести учётку. При удалении Телеграм пугает, что "ваш юзернейм может быть недоступен для регистрации несколько дней", но у меня получилось сразу. Потерял всю переписку и несколько важных файлов. ШТОШ...
В телеграм, зная лишь один Telegram ID невозможно написать человеку. Это не работает, как в том же вконтакте. Необходимо знать юзернейм или номер телефона.
Это замечательно. Но с ботом необходимо сперва начать беседу, прежде чем бот сможет рассылать сообщения.
И я не говорю про Bot API. Я говорю про MTProto, где, действительно, зная "с потолка" только лишь Telegram ID, невозможно написать человеку. Нужно знать юзернейм, либо номер телефона, либо, чтобы данный человек состоял в общей группе с вами, был подписчиком паблика. Понимаете? Но просто взять и разослать перебирая ИД пользователя — невозможно.
Все, понял как это делается:
без переписки и отправки первого сообщения можно любого юзера добавить в свои контакты, «люди рядом» это позволяет сделать. Достаточно увидеть кто «рядом» и занести его в свои контакты. Потом как вы описали выше, телефон не нужен, а любая смена username видна.
«username удалил вас из своего списка контактов»</>
Ещё легче: любое сообщение от вас ("%username вошёл в чат" это тоже сообщение и оно "от вас") пересылается в отдельный чат и можете менять юзернеймы и даже номера телефонов хоть каждую минуту — поможет примерно как смена аватарки.
А начать диалог по userID невозможно, как вам уже написали выше. "Бот" который официально бот (и имя заканчивается на bot) не может начать диалог в принципе никогда и никак. А "бот" который на самом деле скрипт, пользующийся клиентом телеги специальным (и для телеги он по всем признакам юзер) — не может написать только по id. Нужно телефон, юзернейм, или любое сообщение которое форварднули, в нем можно нажать на имя отправителя и начать с ним чат.
Предположу, что что-то вы всё-таки написали в тех чатах? Может хоть одно слово?
В телеграмме есть несколько полей у пользователя, раньше когда изучал протокол были обязательными id и username, id задавался самим сервером, а имя пользователями. И это два неизменных параметра были. А если пользователь менял имя, то менялось displayname, не помню точно как называется. Думаю по имени пользователя можно отсылать сообщения. Недавно в чатах заблокировали пользователя за спам, хотя он уверял что ничего не отсылал и не знает почему так произошло. Думаю левый клиент поставил где-то, посоветовал ему удалить все сессии и поменять/поставить пароль для входа
Я могу ошибаться, но разве эта кнопка доступна, если не известен номер телефона? Я посмотрел прямо сейчас в своем списке диалогов, и наблюдаю кнопку поделиться контактом, только у контактов с номером телефона. Другие же контакты могу только редактировать, удалить, заблокировать. Последняя версия ТГ на Андроиде.
Телеграму насрать на спам, он с ним не борется.
Довольно спорное утверждение.
Довольно часто, если я не сразу увидел спам-сообщение (а у меня они оч редко бывают), к моменту когда я жму «заблокировать и пожаловаться» — аккаунт уже заблокирован
Может быть разная политика для разных стран. Что бы фильтровать французский спам надо нанимать французов, а учитывая, что во Франции (а возможно и по всей европе) Телеграм это мессенджер для наркотиков, проституции и оружия (все сидят на Воцапе) то и борьба со спамом на соответствующем уровне.
Когда в Tinder нашли аналогичную уязвимость, связанную с раскрытием информации, разработчики использовали этот метод, чтобы исправить ее.
Они ее исправили банальным загрублением координат. Местоположение пользователя тиндера до сих пор можно определить с точностью до сотой градуса (~1км). Для выяснения точного адреса конечно недостаточно, но и приятного тоже мало
Тиндер
1) округляет координаты пользователей до сотых долей градуса
2) округляет расчетное расстояние между пользователями до целых миль
Точному определению координат мешает только п.1
Говорит он, что "пользователь находится в 13 милях от вас", из этого можно получить, что пользователь находится в конкретном квадрате 0,01х0,01* (в наших широтах примерно 1х0,6 км).
Домашний адрес это не раскрывает, но приватность нарушает капитально
Я все-таки не понимаю притензий. Участвующие во всем этом, очевидно, согласны на то, что окружающие знают, что они 'рядом'.
Есть тонкая разница между "видеть, кто рядом" и иметь возможность определять местоположение конкретного пользователя.
Точности в "квадратный километр" для визита на дом конечно недостаточно. Но для, скажем, отслеживания передвижений — вполне себе.
С трудом представляю эту разницу. Если есть какая-то граница отсечения тех, кто рядом, то, походив вокруг и отмечая, где флажок 'он рядом' пропадает — ты определяешь его положение.
Если сейчас этот пользователь "не рядом" вокруг чего вы будете ходить ?
'ходить', устанавливая собствевнные координаты, как в статье сделали, по предполагаемой области проживания. В общем, даже общая площать всех городов мира — она не такая уж и большая. Если очень хочется, за какое-то время управится можно.
Но вообще-то, я не понял контекста вопроса. Мой тезис: "если есть возможность определять 'человек рядом' с какой-то точностью — то это всегда означает возможность отслеживать его координаты (после какой-то подготовки) с той же точностью."
Для опровержения нужно привести способ реализации 'человек рядом', для которого это неверно.
В общем, даже общая площать всех городов мира — она не такая уж и большая
Ну т.е. по сути — брутфорс. От брутфорса можно защищаться рэйтлимитами. Дальше начинается битва щита и меча, способная существенно затруднить определение геолокации пользователя.
В настоящее же время для определения координат любого* пользователя тиндера нужна лишь крайне небольшая бот-ферма и один запрос к апи от каждого бота. При этом сам пользователь может быть где угодно, хоть на северном плюсе
(*) со выключенной галкой "скрывать расстояние до меня"
да и в целом, люди таки согласны на это, нажимаю на кнопочку
примерная аналогия — пользоваться звонками и знать, что твой номер виден собеседникам
К сожалению лобовая реализация этой функции приводит к сомнительной желательности побочным эффектам.
он научился подделывать местоположение, которое устройство передает серверам Telegram. Это позволило исследователю попасть в группы, которые были зарегистрированы в пределах тех районов, где он якобы находился
Подделать своё местоположение и соответственно попасть в гео_группы несложно,
вот я в Тамбове, а через 2 минуты в МСК.
Уязвимость заключается в точном расчёте координат пользователя (благодаря осмотру пересечению окружностей).
Они ответили через 14 дней, заявив, что их программа вознаграждения за ошибки не решает эту проблему. Цитата из первоисточника
Ну, а что хотел исследователь? Он же читал описание программы баг баунти 'за что Telegram платит' (по своему усмотрению за баги).
Это всё описание программы баг баунти Telegram — 'смешно' Источник
ps/ Исследователь молодец (если всё так, как он пишет), а Tg — нет.
Это не всегда верно, потому что координаты могут быть тем или иным образом изменены (загрублены, лишены младших разрядов, рандомизированы).
Ты сам себя слышишь?
И огромное количество разработчиков борется за увеличение точности определения этого самого местоположения.
А заявлять «надо специально ухудшать геолокацию», приведёт к проблемам что были и ранее, когда пользователь оказывался в ближайшем водоёме. Ну и раздражение этих самих пользователей, что криворукие разработчики не могут триангулировать точное местоположение.
То, что вы пишете, не имеет отношения к ситуации, когда координаты так или иначе намеренно округляются для сохранения приватности.
Поэтому любые округления вызовут именно раздражение, ибо пользователь сделал это осознанно и не требовал насильных округлений, которые требуете Вы.
Собственно, тут и возникает главный вопрос «Зачем?».
Зачем включать и постоянно передавать своё ориентировочное местоположение и беспокоиться о «приватности»?
Мной были выявлены следующие ограничения:
1. Люди в 10км до 100шт
2. Группы в 100м до 10шт
3. Ограничения по быстрой смене координат, 100 км за 10 сек максимум
Основное, что я юзал, это telethon, clickhouse, google maps. Ограничения со скоростью самые муторные, так как ты не можешь быстро просканировать какую-то площадь, особенно большие города. Вопрос был решен бот фермой, боты ложатся по сетке с шагом в 5-10км, (на 100км² мне понадобилось 100 ботов ака аккаунтов, мне не хотелось париться с перемещением ботов в меньшем количестве по сетке) потом все данные у меня падают в clickhouse, а уже от туда я их достаю, произвожу расчёты на основе трилатерации, результаты сохраняю в json файл, остаётся просто подтянуть данный файл со стороны фронта и построить метки на google maps.
Ах, да, данные которые можно получить, их вообще много, но самые основные, это твои фото, полное имя или частичное, ник, телефон, когда был последний раз в онлайн, и какая дистанция от тебя (в нашем случае бота).
2. Бот ферма позволяет очень быстро зазондить большие площади. В теории если они будут в режиме постоянного мониторинга то появиться возможность реалтайм отслеживать перемещения, но до этого я еще не дошел и не знаю какие есть ограничения со стороны телеги.
Трилатерация. Триангуляция это когда по углам положение определяют, а не по расстояниям.
Это конечно, круто, а зачем Новую Каховку обфусцировали? :)
Вообще, вот тоже как эту функцию увидел, стал размышлять что можно следить за каждым человеком, строить маршруты его передвижений, бота пустить, чтобы летал следом, когда выпадает из вида. Где-то читал, что функцию необязательно даже явно включать. Если зашёл в этот диалог, твоё местоположение уже выводится там же в течение какого-то времени. Очень всё это неправильно, конечно.
Если я не ошибаюсь, пару лет назад у Тиндера был такой-же косяк. Они, кстати, исправили
Когда пользователи активирует ее, то его географическое положение могут видеть контакты поблизости, у которых также активна эта функция.
Вообще там отдельная кнопка для шаринга профиля и написано, что телефон мой не расшарит.
Я бы сделал опционально с загрублением и вообще с показом точных координат, мб человек шарящий профиль хочет чтобы его нашли.
|----------0-| Функция включена, и тогда
|----------0-| Спрятать имя
|----------0-| Спрятать что-то ещё
|---2--0--1-| Насколько и как зарандомить координаты
|----------0-| При отключении, спрятать всех, кто нашёлся при её активации
То же самое, что и отдельный «сквер»-ный профиль.
|##########|
Маловато. Добавим поле тегов цели общения, находятся имеющие совпадения, а ещё даже с логическими условиями, всякими скобочками, управляющими проверкой совпадения тегов в этом поле.
Функция Telegram «Люди рядом» раскрывает точные адреса