Qbik-club
Дата публикации:27.10.20 19:56;Автор:Евгений;Категория: технологии;Теги:, , , ;

Исследование функции предварительного просмотра ссылок

Два разработчика проанализировали функцию предварительного просмотра ссылок, которая присутствует почти в каждом приложении и упрощает коммуникацию, пишет Ars Technica. Но наряду с этим, может приносить неприятности в виде «вылета» приложений, разряжающейся батареи, утечки конфиденциальных данных или пропускать через превью вредоносный код.

Исследование функции предварительного просмотра ссылок

Предварительный просмотр ссылок - это повсеместная функция, которую можно найти практически в каждом приложении для чата и обмена сообщениями, и не без оснований. Они упрощают онлайн-беседы, предоставляя изображения и текст, связанные с файлом, на который указывает ссылка.

К сожалению, они также могут стать причиной утечек ваших конфиденциальных данных. Использовать ваш интернет трафик, разряжать наши батарею и, в конце концов, открывать ссылки в чатах, которые должны быть скрыты. Согласно проведённому исследованию, среди наиболее серьезных нарушителей были Facebook, Instagram, LinkedIn и Line.

Когда отправитель добавляет ссылку в сообщение, приложение отображает беседу вместе с текстом (обычно заголовком) и изображениями, сопровождающими ссылку. Обычно это выглядит примерно так:

Пример превью страницы

Чтобы это произошло, само приложение — или назначенный им прокси-сервер — должно перейти по ссылке, открыть страницу и узнать, что на ней содержится. Это может сделать пользователей уязвимыми для атак. Самыми серьезными являются те, которые могут загружать вредоносные программы. Другие формы злого умысла могут начинать загрузку файла настолько большого размера, что это вызовет сбой в работе приложения. А если ссылка ведет к частным материалам — например, к налоговой декларации, размещенной в частной учетной записи OneDrive или DropBox, — сервер приложения имеет возможность просматривать и хранить ее на неопределенный срок.

Исследователи, подготовившие отчет, обнаружили, что наиболее уязвимыми были Facebook Messenger и Instagram. Как показано в видео ниже, оба приложения загружают и копируют связанный файл целиком, даже если он имеет размер в гигабайты. Опять же, это может быть проблемой, если пользователи хотят сохранить конфиденциальность файла.

Также проблемой являетсятот факт, что приложения могут потреблять огромное количество пропускной способности интернет соединения, потребляя при этом значительный заряд батареи. Оба приложения также запускают любой JavaScript, содержащийся в ссылке, что является прямой угрозой безопасности.

Хадж Бакри и Мыск сообщили о своих результатах в Facebook, и компания заявила, что оба приложения работают должным образом. LinkedIn показал себя немного лучше. Тут разница заключалась в том, что вместо копирования файлов любого размера он копировал только первые 50 мегабайт.

Между тем, когда приложение Line открывает зашифрованное сообщение и находит ссылку, кажется, что оно отправляет ссылку на сервер Line для создания предварительного просмотра. «Мы считаем, что это противоречит цели сквозного шифрования, поскольку серверы LINE знают все о ссылках, которые отправляются через приложение, и о том, кто и кому передает какие ссылки», — написали Хадж Бакри и Мыск.

Discord, Google Hangouts, Slack, Twitter и Zoom также копируют файлы, но они ограничивают объем данных от 15 до 50 МБ. В таблице ниже представлено сравнение каждого приложения, включенного в исследование.

Таблица результатов исследования

В целом, есть и хорошая новость. Результаты исследования показывают, что большинство приложений для обмена сообщениями работают правильно. Например, Signal, Threema, TikTok и WeChat дают пользователям возможность не получать предварительный просмотр ссылок. Это лучший вариант для действительно конфиденциальных сообщений и пользователей, которым нужна максимальная конфиденциальность. Даже если есть предварительный просмотр, эти приложения используют относительно безопасные средства для их генерации.

Понравилась публикация? Поделись ей с друзьями!

Понравился сайт? Подпишьсь на нас в соцсетях!

Мы в TelegramМы ВконтактеМы в ТвиттерМы на фейсбукМы в одноклассниках
Опубликовать
Загрузка рекомендуемых публикаций