Pregledi linkova u aplikacijama za slanje poruka ugrožavaju privatnost korisnika
Vesti, 28.10.2020, 09:30 AM
Pregledi linkova u popularnim aplikacijama za slanje poruka mogu biti veoma opasni zbog curenja IP adresa, otkrivanja linkova poslatih u šifrovanim razgovorima, pa čak i nepotrebnog nevidljivog preuzimanja gigabajta podataka.
„Linkovi koje se dele u ćaskanju mogu sadržati privatne informacije namenjene samo primaocima [poruka]“, rekli su istraživači Talal Haj Bakry i Tommy Misk, koji su upozorili na ove rizike. „To mogu biti računi, ugovori, medicinski kartoni ili bilo šta što može biti poverljivo. Aplikacije koje se oslanjaju na servere za generisanje pregleda linkova mogu da narušavaju privatnost svojih korisnika slanjem linkova koje se dele u privatnom ćaskanju na svoje servere.“
Pregledi linkova su uobičajeni u većini aplikacija za slanje poruka, a osim vizuelnog prikaza, podrazumevaju i kratak opis deljenog linka.
I dok aplikacije poput Signala i Wirea omogućavaju korisnicima da uključe ili isključe preglede linkova, nekoliko drugih poput aplikacije Threema i WeChat uopšte ne generišu pregled linka.
Pregledi linkova na strani pošiljaoca u Apple iMessage, Signalu (ako je postavka uključena), Viberu i Facebookovom WhatsAppu funkcionišu tako što se link preuzima, posle čega se stvara slika pregleda i kratki opis koji se zatim primaocu šalje kao prilog. Kada aplikacija na drugom kraju primi pregled, ona prikazuje poruku bez otvaranja linka, štiteći tako korisnika od zlonamernih linkova.
„Ovaj pristup pretpostavlja da onaj ko šalje link mora da mu veruje, jer će aplikacija pošiljaoca biti ta koja će morati da otvori link“, rekli su istraživači.
Pregledi linkova generisani na strani primaoca otvaraju vrata novim rizicima omogućavajući napadačima da procene njihovu približnu lokaciju bez ikakvih radnji koje preduzima primalac, samo slanjem linka na server pod njihovom kontrolom.
To se dešava jer aplikacija za slanje poruka, po prijemu poruke sa linkom, automatski otvara URL da bi kreirala pregled otkrivajući IP adresu telefona u zahtevu poslatom serveru.
Osim toga, postavlja se pitanje da li server koji se koristi za generisanje pregleda zadržava kopiju, i ako je zadržava, koliko je zadržava.
Nekoliko aplikacija, uključujući Discord, Facebook Messenger, Google Hangouts, Instagram, LINE, LinkedIn, Slack, Twitter i Zoom, spada u ovu kategoriju. Nijedna od njih ne ukazuje korisnicima na činjenicu da „serveri preuzimaju sve što pronađu u linku“.
Testiranje ovih aplikacija otkrilo je da su, osim za Facebook Messengera i Instagrama, sve ostale nametnule ograničenje od 15-50 MB kada su u pitanju fajlovi koje preuzimaju njihovi serveri.
Facebook Messenger i Instagram preuzimaju čitave fajlove, čak i ako se radi o gigabajtima.
Ovo bi moglo ozbiljno da ugrozi privatnost korisnika ako serveri zadrže kopiju a dogodi se hakerski napad na servere.
Uprkos end-to-end enkripciji (E2EE), dizajniranoj da spreči treću stranu da prisluškuju razgovore, oslanjanje aplikacije na eksterni server za generisanje pregleda linkova omogućava serverima da znaju sve o linkovima koji se šalju preko aplikacije i ko sa kim deli link.
„Kad god pravite novu funkciju, uvek imajte na umu kakve implikacije na privatnost i bezbednost ona može imati, posebno ako će ovu funkciju koristiti hiljade ili čak milioni ljudi širom sveta. Pregledi linkova su lepa funkcija od koje korisnici uglavnom imaju koristi, ali ovde smo prikazali širok spektar problema koje ova funkcija može imati kada se problemi sa privatnošću i bezbednošći ne razmotre pažljivo“, zaključili su istraživači.
Izdvojeno
Nova pravila za Chrome ekstenzije: manje prikupljanja podataka, više transparentnosti
Google je najavio značajne izmene pravila za Chrome ekstenzije koje će od programera zahtevati znatno veću transparentnost u vezi sa prikupljanjem ... Dalje
AI agent prvi put bez ljudske intervencije izvršio kompletan ransomware napad
Za ransomware napade ljudi više nisu potrebni: po prvi put, agent veštačke inteligencije je samostalno izvršio ransomware napad, iskorišćavajuc... Dalje
Zašto stručnjaci upozoravaju roditelje da razmisle pre objavljivanja fotografija dece na internetu
Sve više stručnjaka upozorava roditelje da dobro razmisle pre nego što objave fotografije ili video snimke svoje dece na internetu, jer razvoj veš... Dalje
Google poremetio rad jednog od najvećih botneta sa oko dva miliona uređaja
Google je saopštio da je značajno poremetio rad jednog od najvećih rezidencijalnih proksi botneta na svetu, poznatog pod nazivom NetNut, koji je pr... Dalje
Apple menja način objavljivanja bezbednosnih ažuriranja zbog AI pretnji
Apple menja način objavljivanja bezbednosnih ažuriranja kako bi brže odgovorio na sajber pretnje koje ubrzava razvoj veštačke inteligencije. Komp... Dalje
Pratite nas
Nagrade






Pratite nas preko RSS-a





