Предварительный просмотр ссылок в приложениях для обмена сообщениями связан с рисками конфиденциальности

Cloud Networks > Новости > Предварительный просмотр ссылок в приложениях для обмена сообщениями связан с рисками конфиденциальности
29.10.2020

Предварительный просмотр ссылок в приложениях для обмена сообщениями связан с рисками конфиденциальности

Исследователи раскрыли новые риски безопасности, связанные с предварительным просмотром ссылок в популярных приложениях для обмена сообщениями, которые:

  • вызывают утечку IP-адресов службами;
  • раскрывают ссылки, отправленные через сквозные зашифрованные чаты;
  • и даже незаметно загружают гигабайты данных в фоновом режиме.

 

Ссылки в чатах могут содержать конфиденциальную информацию: счета, контракты, данные банковских карточек и так далее.

Приложения, которые используют серверы для создания предварительных просмотров ссылок, могут нарушать конфиденциальность своих пользователей, отправляя ссылки, опубликованные в частном чате, на свои серверы.

 

Создание предварительных просмотров ссылок на стороне отправителя и получателя

Предварительный просмотр ссылок – обычная функция в большинстве чат-приложений, что упрощает отображение визуального предварительного просмотра и краткого описания общей ссылки.

Такие приложения, как TikTok или WeChat, вообще не создают предварительный просмотр ссылок. Но предварительный просмотр ссылок на стороне отправителя используется в Apple iMessage, Signal (если параметр включен), Viber и WhatsApp Facebook. Когда приложение на другом конце получает предварительный просмотр, оно отображает сообщение, не открывая ссылку, тем самым защищая пользователя от вредоносных ссылок.

Этот подход предполагает, что тот, кто отправляет ссылку, должен ей доверять, так как именно приложение отправителя должно будет открыть ссылку.

Несколько приложений, включая Discord, Facebook Messenger, Instagram, LinkedIn, Slack, Twitter и Zoom, попадают в эту категорию без каких-либо указаний для пользователей (серверы загружают все, что они находят в ссылке).

Тестирование этих приложений показало:

  • За исключением Facebook Messenger и Instagram, все остальные установили ограничение в 15-50 МБ, когда дело доходит до файлов, загружаемых их соответствующими серверами.
  • Slack кеширует превью ссылок примерно на 30 минут.
  • Facebook Messenger и Instagram, загружают файлы целиком, даже если они имеют размер в гигабайты (например, файл 2,6 ГБ), что, согласно Facebook, является предполагаемой функцией.

Даже в этом случае, предупреждают исследователи, это может стать «кошмаром конфиденциальности», если серверы сохранят копию и произойдет утечка данных на этих серверах.

Предварительный просмотр ссылок – это хорошая функция, но стоит помнить о проблемах, которые могут возникнуть с нарушением конфиденциальности.

Мы не передадим ваши данные третьим лицам и не будем донимать спамом
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
to-top