Pregledi linkova u aplikacijama za slanje poruka ugrožavaju privatnost korisnika

Vesti, 28.10.2020, 09:30 AM

Pregledi linkova u aplikacijama za slanje poruka ugrožavaju privatnost korisnika

Pregledi linkova u popularnim aplikacijama za slanje poruka mogu biti veoma opasni zbog curenja IP adresa, otkrivanja linkova poslatih u šifrovanim razgovorima, pa čak i nepotrebnog nevidljivog preuzimanja gigabajta podataka.

„Linkovi koje se dele u ćaskanju mogu sadržati privatne informacije namenjene samo primaocima [poruka]“, rekli su istraživači Talal Haj Bakry i Tommy Misk, koji su upozorili na ove rizike. „To mogu biti računi, ugovori, medicinski kartoni ili bilo šta što može biti poverljivo. Aplikacije koje se oslanjaju na servere za generisanje pregleda linkova mogu da narušavaju privatnost svojih korisnika slanjem linkova koje se dele u privatnom ćaskanju na svoje servere.“

Pregledi linkova su uobičajeni u većini aplikacija za slanje poruka, a osim vizuelnog prikaza, podrazumevaju i kratak opis deljenog linka.

I dok aplikacije poput Signala i Wirea omogućavaju korisnicima da uključe ili isključe preglede linkova, nekoliko drugih poput aplikacije Threema i WeChat uopšte ne generišu pregled linka.

Pregledi linkova na strani pošiljaoca u Apple iMessage, Signalu (ako je postavka uključena), Viberu i Facebookovom WhatsAppu funkcionišu tako što se link preuzima, posle čega se stvara slika pregleda i kratki opis koji se zatim primaocu šalje kao prilog. Kada aplikacija na drugom kraju primi pregled, ona prikazuje poruku bez otvaranja linka, štiteći tako korisnika od zlonamernih linkova.

„Ovaj pristup pretpostavlja da onaj ko šalje link mora da mu veruje, jer će aplikacija pošiljaoca biti ta koja će morati da otvori link“, rekli su istraživači.

Pregledi linkova generisani na strani primaoca otvaraju vrata novim rizicima omogućavajući napadačima da procene njihovu približnu lokaciju bez ikakvih radnji koje preduzima primalac, samo slanjem linka na server pod njihovom kontrolom.

To se dešava jer aplikacija za slanje poruka, po prijemu poruke sa linkom, automatski otvara URL da bi kreirala pregled otkrivajući IP adresu telefona u zahtevu poslatom serveru.

Osim toga, postavlja se pitanje da li server koji se koristi za generisanje pregleda zadržava kopiju, i ako je zadržava, koliko je zadržava.

Nekoliko aplikacija, uključujući Discord, Facebook Messenger, Google Hangouts, Instagram, LINE, LinkedIn, Slack, Twitter i Zoom, spada u ovu kategoriju. Nijedna od njih ne ukazuje korisnicima na činjenicu da „serveri preuzimaju sve što pronađu u linku“.

Testiranje ovih aplikacija otkrilo je da su, osim za Facebook Messengera i Instagrama, sve ostale nametnule ograničenje od 15-50 MB kada su u pitanju fajlovi koje preuzimaju njihovi serveri.

Facebook Messenger i Instagram preuzimaju čitave fajlove, čak i ako se radi o gigabajtima.

Ovo bi moglo ozbiljno da ugrozi privatnost korisnika ako serveri zadrže kopiju a dogodi se hakerski napad na servere.

Uprkos end-to-end enkripciji (E2EE), dizajniranoj da spreči treću stranu da prisluškuju razgovore, oslanjanje aplikacije na eksterni server za generisanje pregleda linkova omogućava serverima da znaju sve o linkovima koji se šalju preko aplikacije i ko sa kim deli link.

„Kad god pravite novu funkciju, uvek imajte na umu kakve implikacije na privatnost i bezbednost ona može imati, posebno ako će ovu funkciju koristiti hiljade ili čak milioni ljudi širom sveta. Pregledi linkova su lepa funkcija od koje korisnici uglavnom imaju koristi, ali ovde smo prikazali širok spektar problema koje ova funkcija može imati kada se problemi sa privatnošću i bezbednošći ne razmotre pažljivo“, zaključili su istraživači.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Sophos obaveštava korisnike da su procureli podaci onih koji su kontaktirali korisničku podršku

Sophos obaveštava korisnike da su procureli podaci onih koji su kontaktirali korisničku podršku

Proizvođač rešenja za zaštitu informacionih sistema sa sedištem u Velikoj Britaniji, kompanija Sophos, trenutno šalje email obaveštenja svojim ... Dalje

Robot usisivači vas mogu prisluškivati

Robot usisivači vas mogu prisluškivati

Ako planirate kupovinu, ili maštate o robot usisivaču, možda bi trebalo da imate na umu otkriće naučnika koji kažu da robot usisivači mogu pris... Dalje

Otkriveno kako je hakovano više od 300000 Spotify naloga

Otkriveno kako je hakovano više od 300000 Spotify naloga

Korisnici su se godinama žalili da su im Spotify nalozi hakovani a lozinke promenjene, da im se nove plejliste pojavljuju na profilima ili su njihovi... Dalje

Top 10 najčešće korišćenih lozinki u 2020.

Top 10 najčešće korišćenih lozinki u 2020.

Ovo je doba godine kada obično govorimo o lozinkama, odnosno da li se promenio odnos korisnika prema vlastitoj bezbednosti. Nakon analize 275 699 516... Dalje

Hakeri napali fudbalski klub Mančester Junajted

Hakeri napali fudbalski klub Mančester Junajted

Evropski fudbalski klub Mančester Junajted objavio je u petak da su pretrpeli sajber napad koji je uticao na njihove interne sisteme. Fudbalski klub ... Dalje