Предварительный просмотр ссылок (или предпросмотр) - это функция, которую можно найти практически в каждом современном приложении для обмена сообщениями, и это не просто там. Она упрощает онлайн-беседы, показывая краткое описание сайта, миниатюру изображения или предоставляя оба изображения и текст, связанные с файлом, на который указывает ссылка.
К сожалению, они также могут выдавать наши конфиденциальные данные, потреблять интернет, разряжать батареи смартфонов, и даже открывать ссылки в чатах со сквозным шифрованием. Согласно исследованию, опубликованному в понедельник, наиболее серьезные нарушения были обнаружены в мессенджерах Facebook (кто бы сомневался), Instagram, LinkedIn и Line.
Как работает предпросмотр?
Когда отправитель включает ссылку в сообщение, приложение сопровождает ее заголовком, кратким текстом и изображением. Обычно это выглядит примерно так:
Чтобы это произошло, само приложение, или назначенный им прокси-сервер, должно перейти по ссылке, открыть там файл или веб-сайт и узнать, что в нем содержится. И как раз таки это и делает пользователей уязвимыми для атак. Наибольшую опасность таят те приложения, которые позволяют загружать вредоносные программы, другие же можно заставить загружать файлы настолько большого размера, что они вызывают сбой приложения, разряжают батарею или потребляют ограниченный интернет-трафик.
А если ссылка ведет к частным материалам - например, к налоговой декларации, размещенной в частной учетной записи OneDrive или DropBox, - сервер приложения получает возможность просматривать и хранить ее на неопределенный срок.
Читайте также: Как запретить Facebook отслеживать каждый ваш шаг
Исследователи Талал Хадж Бакри и Томми Мыск, подготовившие отчет , обнаружили, что больше всего нарушений в Facebook Messenger и Instagram. Как показано на видео ниже, оба приложения загружают и копируют связанный файл целиком, даже если он измеряется в гигабайтах. И это может быть проблемой, если пользователи хотят сохранить конфиденциальность отправляемого файла.
Серверы Instagram загружают любую ссылку, отправленную в личных сообщениях, даже если это 2,6 ГБ.
Загружая эти вложения, приложения могут потреблять огромное количество интернет трафика и заряда батареи. Оба приложения также запускают любой JavaScript, содержащийся по ссылке. Проблема в том, что пользователи не имеют возможности проверить безопасность JavaScript кода на сайте, и не могут ожидать, что мессенджеры будут иметь на борту такую же защиту от эксплойтов, как современные браузеры.
Хакеры могут запускать любой JavaScript код на серверах Instagram.
Хадж Бакри и Мыск сообщили о своих результатах в сам Facebook, но компания заявила, что оба приложения работают должным образом. LinkedIn показал себя немного лучше. Единственная разница заключалась в том, что вместо копирования файлов любого размера он копировал только первые 50 мегабайт.
Читайте также: Зашифрованные сообщения не гарантируют приватность: вот как это отражается на обычных пользователях
Между тем, когда приложение Line открывает зашифрованное сообщение и находит ссылку, оно отправляет ее на сервер компании для создания предварительного просмотра.
Discord, Google Hangouts, Slack, Twitter и Zoom также копируют файлы, но они ограничивают объем данных от 15 до 50 МБ. В таблице ниже представлено сравнение каждого приложения, включенного в исследование.«Мы считаем, что это противоречит цели сквозного шифрования, поскольку серверы LINE знают все о ссылках, которые отправляются через приложение, и о том, кто и кому передает какие ссылки», - написали исследователи.
В целом, исследование - несет в себе хорошие новости, ведь оно показывает, что большинство приложений для обмена сообщениями работают правильно. Например, Signal, Threema, TikTok и WeChat дают пользователям возможность не получать предварительный просмотр ссылок. Для действительно конфиденциальных сообщений и пользователей, которые хотят максимальной конфиденциальности, это лучшие вариант. Ведь даже если есть в нем есть предварительный просмотр, эти приложения используют относительно безопасные средства для их рендеринга. К сожалению, Томми и Хадж не включили в свое исследование Telegram.
По материалам Arstechnica.
Изображение на обложке: Brett Jordan via Pexels
Подписывайся на Эксплойт в Telegram, чтобы всегда оставаться на страже своей приватности и безопасности в интернете.
Читать далее...