| 26 окт 2020 г. — 17:35 PT
Почти все популярные мессенджеры предлагают предпросмотр ссылок, который позволяет пользователям заранее узнать содержимое URL. Однако исследователи в области безопасности Талал Хадж Бакри и Томми Маск обнаружили, что эти предпросмотры ссылок могут раскрывать пользовательские данные в приложениях для iOS и Android.
Когда вы отправляете любую ссылку через мессенджер, такой как Messenger, WhatsApp и даже iMessage, приложение генерирует предпросмотр этой ссылки, который обычно содержит изображение, заголовок и иногда короткий текст. Хотя это очень полезная функция, Бакри и Маск высказали некоторые опасения по поводу конфиденциальности.
Давайте сделаем шаг назад и подумаем, как генерируется предпросмотр. Откуда приложение знает, что показывать в сводке? Оно должно каким-то образом автоматически открывать ссылку, чтобы узнать, что внутри. Но безопасно ли это? Что, если ссылка содержит вредоносное ПО? Или что, если ссылка ведет к очень большому файлу, который вы не хотите, чтобы приложение загружало и использовало ваши данные?
Исследователи объясняют, что существуют различные способы генерации этих предпросмотров, и некоторые методы более безопасны, чем другие. Например, iMessage и WhatsApp загружают содержимое URL сразу после того, как вы отправляете его кому-то другому. Вероятно, это означает, что вы знаете, чем делитесь, а также что другой человек получит предпросмотр, сгенерированный вами.
Однако Reddit и другие приложения генерируют предпросмотр на устройстве получателя. Как только вы получаете ссылку в этих приложениях, они открывают URL в фоновом режиме, а затем генерируют ссылку для предпросмотра. При таком методе неизвестный человек может отправить вам вредоносную ссылку, которая собирает данные с вашего устройства, такие как IP-адрес вашего телефона — и, следовательно, его примерное местоположение.
Однако существует третий подход, который может поставить ваши личные данные под угрозу. Как отметили исследователи, такие приложения, как Discord, Messenger, Instagram и Twitter, генерируют эти предпросмотры ссылок на удаленном сервере, а не на устройствах отправителя и получателя. Для пользователей это означает, что сообщения с URL не зашифрованы сквозным шифрованием, поэтому любой, кто имеет доступ к этим серверам, может просматривать содержимое чата.
Они также обнаружили, что некоторые из этих приложений генерируют и загружают предпросмотры автоматически, даже если это большой файл. Например, Facebook Messenger может загрузить файл размером до 20 МБ без какого-либо взаимодействия с пользователем — что кажется излишним для отображения изображений и текста. И, конечно же, это также означает, что ваши личные файлы хранятся на серверах этих компаний без шифрования, поскольку предпросмотры генерируются онлайн.
Так что этот секретный документ, ссылку на который вы поделились из своего OneDrive, и вы думали, что удалили его, потому что больше не хотели им делиться? Возможно, его копия находится на одном из этих серверов предпросмотра ссылок.
В одном из своих тестов исследователи смогли получить IP-адреса получателей, просто отправив ссылки через эти приложения, которые автоматически загружают ссылки для предварительного просмотра. Они также предупреждают, что в некоторых случаях веб-страницы могут даже выполнять вредоносный JavaScript-код через эти предпросмотры.
Команда связалась с разработчиками упомянутых в статье приложений, чтобы узнать, как они планируют сделать предпросмотр ссылок более безопасным. А пока вы можете ознакомиться с полным исследованием подробно в блоге Mysk.