Pregledi linkova u aplikacijama za slanje poruka ugrožavaju privatnost korisnika

Vesti, 28.10.2020, 09:30 AM

Pregledi linkova u aplikacijama za slanje poruka ugrožavaju privatnost korisnika

Pregledi linkova u popularnim aplikacijama za slanje poruka mogu biti veoma opasni zbog curenja IP adresa, otkrivanja linkova poslatih u šifrovanim razgovorima, pa čak i nepotrebnog nevidljivog preuzimanja gigabajta podataka.

„Linkovi koje se dele u ćaskanju mogu sadržati privatne informacije namenjene samo primaocima [poruka]“, rekli su istraživači Talal Haj Bakry i Tommy Misk, koji su upozorili na ove rizike. „To mogu biti računi, ugovori, medicinski kartoni ili bilo šta što može biti poverljivo. Aplikacije koje se oslanjaju na servere za generisanje pregleda linkova mogu da narušavaju privatnost svojih korisnika slanjem linkova koje se dele u privatnom ćaskanju na svoje servere.“

Pregledi linkova su uobičajeni u većini aplikacija za slanje poruka, a osim vizuelnog prikaza, podrazumevaju i kratak opis deljenog linka.

I dok aplikacije poput Signala i Wirea omogućavaju korisnicima da uključe ili isključe preglede linkova, nekoliko drugih poput aplikacije Threema i WeChat uopšte ne generišu pregled linka.

Pregledi linkova na strani pošiljaoca u Apple iMessage, Signalu (ako je postavka uključena), Viberu i Facebookovom WhatsAppu funkcionišu tako što se link preuzima, posle čega se stvara slika pregleda i kratki opis koji se zatim primaocu šalje kao prilog. Kada aplikacija na drugom kraju primi pregled, ona prikazuje poruku bez otvaranja linka, štiteći tako korisnika od zlonamernih linkova.

„Ovaj pristup pretpostavlja da onaj ko šalje link mora da mu veruje, jer će aplikacija pošiljaoca biti ta koja će morati da otvori link“, rekli su istraživači.

Pregledi linkova generisani na strani primaoca otvaraju vrata novim rizicima omogućavajući napadačima da procene njihovu približnu lokaciju bez ikakvih radnji koje preduzima primalac, samo slanjem linka na server pod njihovom kontrolom.

To se dešava jer aplikacija za slanje poruka, po prijemu poruke sa linkom, automatski otvara URL da bi kreirala pregled otkrivajući IP adresu telefona u zahtevu poslatom serveru.

Osim toga, postavlja se pitanje da li server koji se koristi za generisanje pregleda zadržava kopiju, i ako je zadržava, koliko je zadržava.

Nekoliko aplikacija, uključujući Discord, Facebook Messenger, Google Hangouts, Instagram, LINE, LinkedIn, Slack, Twitter i Zoom, spada u ovu kategoriju. Nijedna od njih ne ukazuje korisnicima na činjenicu da „serveri preuzimaju sve što pronađu u linku“.

Testiranje ovih aplikacija otkrilo je da su, osim za Facebook Messengera i Instagrama, sve ostale nametnule ograničenje od 15-50 MB kada su u pitanju fajlovi koje preuzimaju njihovi serveri.

Facebook Messenger i Instagram preuzimaju čitave fajlove, čak i ako se radi o gigabajtima.

Ovo bi moglo ozbiljno da ugrozi privatnost korisnika ako serveri zadrže kopiju a dogodi se hakerski napad na servere.

Uprkos end-to-end enkripciji (E2EE), dizajniranoj da spreči treću stranu da prisluškuju razgovore, oslanjanje aplikacije na eksterni server za generisanje pregleda linkova omogućava serverima da znaju sve o linkovima koji se šalju preko aplikacije i ko sa kim deli link.

„Kad god pravite novu funkciju, uvek imajte na umu kakve implikacije na privatnost i bezbednost ona može imati, posebno ako će ovu funkciju koristiti hiljade ili čak milioni ljudi širom sveta. Pregledi linkova su lepa funkcija od koje korisnici uglavnom imaju koristi, ali ovde smo prikazali širok spektar problema koje ova funkcija može imati kada se problemi sa privatnošću i bezbednošći ne razmotre pažljivo“, zaključili su istraživači.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Otkriveno na hiljade lažnih onlajn prodavnica - kupci ostali bez novca na računima

Otkriveno na hiljade lažnih onlajn prodavnica - kupci ostali bez novca na računima

Firma za sajber bezbednost Silent Push otkrila je na hiljade veb sajtova koji se lažno predstavljaju kao sajtovi velikih brendova kao što su Apple i... Dalje

40 lažnih ekstenzija za Firefox krade kriptovalute korisnika

40 lažnih ekstenzija za Firefox krade kriptovalute korisnika

Istraživači sajber bezbednosti iz kompanije Koi Security otkrili su više od 40 ekstenzija za Mozilla Firefox koje kradu privatne ključeve i seed f... Dalje

Budite oprezni: veštačka inteligencija ponekad izmišlja i može vas poslati na lažni veb sajt

Budite oprezni: veštačka inteligencija ponekad izmišlja i može vas poslati na lažni veb sajt

Bezbednosni istraživači otkrili su ozbiljan rizik u radu velikih jezičkih modela (LLM), poput popularnih AI asistenata. Naime, kada ih pitate jedno... Dalje

Ažurirajte Chrome odmah: Hakeri koriste ranjivost u veb pregledaču

Ažurirajte Chrome odmah: Hakeri koriste ranjivost u veb pregledaču

Google je objavio hitna bezbednosna ažuriranja za Chrome kako bi rešio ozbiljnu ranjivost koja se već zloupotrebljava u napadima. Ovaj „zero-... Dalje

Kada sajber kriminal ubija: Bolnice na udaru ransomware-a

Kada sajber kriminal ubija: Bolnice na udaru ransomware-a

Do skoro, sajber kriminal se uglavnom svodio na krađu podataka ili novca. Ali dva napada ransomware-a na evropske bolnice pokazuju da sajber kriminal... Dalje