Oprogramowanie

Badanie pokazuje, z których komunikatorów wyciekają dane, rozładowują baterię i nie tylko

Pień fotografia człowieka przy użyciu smartfona.

Podglądy linków to wszechobecna funkcja, którą można znaleźć w prawie każdej aplikacji do czatu i wiadomości, i nie bez powodu. Ułatwiają rozmowy online, udostępniając obrazy i tekst skojarzone z łączonym plikiem.

Niestety, mogą również wyciekać nasze poufne dane, zużywać naszą ograniczoną przepustowość, rozładowywać nasze baterie, aw jednym przypadku ujawniać łącza w czatach, które mają być szyfrowane od końca do końca. Według badań opublikowanych w poniedziałek, wśród najgorszych przestępców byli komunikatorzy z Facebooka, Instagrama, LinkedIn i Line. Więcej o tym wkrótce. Najpierw krótkie omówienie podglądów.

Gdy nadawca umieści łącze w wiadomości, aplikacja wyświetli konwersację wraz z tekstem (zwykle nagłówkiem) i obrazami towarzyszącymi linkowi. Zwykle wygląda to mniej więcej tak:

Aby tak się stało, sama aplikacja – lub wyznaczony przez nią serwer proxy – musi odwiedzić łącze, otworzyć tam plik i sprawdzić, co się w nim znajduje. Może to otworzyć użytkowników na ataki. Najpoważniejsze to te, które mogą pobierać złośliwe oprogramowanie. Inne formy złośliwości mogą zmuszać aplikację do pobierania plików tak dużych, że powodują awarie aplikacji, wyczerpywanie baterii lub zużywanie ograniczonej przepustowości. A jeśli odsyłacz prowadzi do materiałów prywatnych – powiedzmy, zeznania podatkowego zamieszczonego na prywatnym koncie OneDrive lub DropBox – serwer aplikacji ma możliwość przeglądania i przechowywania go w nieskończoność.

Badacze stojący za poniedziałkowym raportem, Talal Haj Bakry i Tommy Mysk, stwierdzili, że najgorszymi przestępcami były Facebook Messenger i Instagram. Jak pokazuje poniższy wykres, obie aplikacje pobierają i kopiują połączony plik w całości – nawet jeśli ma on rozmiar gigabajtów. Ponownie, może to stanowić problem, jeśli użytkownik chce zachować prywatność pliku.

Podgląd łączy: serwery Instagrama pobierają dowolny link wysłany w wiadomościach bezpośrednich, nawet jeśli ma on 2,6 GB

Jest to również problematyczne, ponieważ aplikacje mogą zużywać ogromne ilości przepustowości i rezerw baterii. Obie aplikacje obsługują również JavaScript zawarty w łączu. To problem, ponieważ użytkownicy nie mają możliwości sprawdzenia bezpieczeństwa JavaScript i nie mogą oczekiwać, że komunikatory będą miały takie same zabezpieczenia przed exploitami, jakie mają współczesne przeglądarki.

Podgląd linków: jak hakerzy mogą uruchamiać dowolny kod JavaScript na serwerach Instagram.

LinkedIn wypadł tylko nieznacznie lepiej. Jedyną różnicą było to, że zamiast kopiować pliki o dowolnym rozmiarze, kopiował tylko pierwsze 50 megabajtów. Haj Bakry i Mysk zgłosili swoje odkrycia na Facebooku, a firma stwierdziła, że ​​obie aplikacje działają zgodnie z przeznaczeniem.

W międzyczasie, gdy aplikacja Line otworzy zaszyfrowaną wiadomość i znajdzie łącze, wydaje się, że wysyła łącze do serwera Line w celu wygenerowania podglądu. „Uważamy, że jest to sprzeczne z celem szyfrowania od końca do końca, ponieważ serwery LINE wiedzą wszystko o odsyłaczach przesyłanych za pośrednictwem aplikacji oraz o tym, kto udostępnia jakie linki do kogo” – napisali Haj Bakry i Mysk.

Discord, Google Hangouts, Slack, Twitter i Zoom również kopiują pliki, ale ograniczają ilość danych w dowolnym miejscu od 15 MB do 50 MB. Poniższy wykres przedstawia porównanie każdej aplikacji w badaniu.

Talal Haj Bakry i Tommy Mysk

Podsumowując, badanie to dobra wiadomość, ponieważ pokazuje, że większość aplikacji do przesyłania wiadomości działa dobrze. Na przykład Signal, Threema, TikTok i WeChat dają użytkownikom możliwość nieotrzymywania podglądu linków. Jest to najlepsze ustawienie dla naprawdę wrażliwych wiadomości i użytkowników, którzy chcą jak największej prywatności. Nawet jeśli dostępne są podglądy, te aplikacje używają stosunkowo bezpiecznych sposobów ich renderowania.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook