Предварительный просмотр ссылок в мессенджерах может привести к утечке данных.

Исследователи кибербезопасности Талал Хадж Бакри(Talal Haj Bakry)и Томми Миск(Tommy Mysk)сообщили о рисках безопасности, связанных с предварительным просмотром ссылок в популярных приложениях для обмена сообщениями. Они могут привести к раскрытию IP-адресов пользователя, раскрытию отправленных через зашифрованные чаты ссылок, и даже незаметной загрузке гигабайтов данных в фоновом режиме.

«Ссылки в чатах могут содержать личную информацию, предназначенную только для получателей. Это могут быть счета, контракты, медицинские записи или что-нибудь конфиденциальное. Приложения могут нарушать конфиденциальность своих пользователей, отправляя ссылки, опубликованные в частном чате, на свои серверы для предварительного просмотра», — отметили эксперты.

Предварительный просмотр ссылок является обычной функцией в большинстве приложений для общения, что позволяет осуществлять предварительный просмотр и демонстрировать краткое описание общей ссылки. Хотя такие приложения, как Signal и Wire, дают пользователям возможность включать или выключать предварительный просмотр ссылок, Threema, TikTok и WeChat, например, вообще не генерируют предварительный просмотр ссылок.

Предварительный просмотр ссылок, созданный на стороне получателя, позволяет злоумышленнику узнать приблизительное местоположение жертвы без каких-либо действий со стороны получателя путем простой отправки ссылки на подконтрольный сервер. Приложение для обмена сообщениями, получив сообщение со ссылкой, автоматически открывает URL-адрес для создания предварительного просмотра, раскрывая IP-адрес телефона в запросе, отправленном на сервер.

Использование внешнего сервера для генерации превью предотвращает раскрытие IP-адреса, однако создает новую проблему — сохраняет ли сервер, используемый для генерации превью, копию. Несколько приложений, включая Discord, Facebook Messenger, Google Hangouts, Instagram, LINE, LinkedIn, Slack, Twitter и Zoom, попадают в данную категорию без каких-либо указаний для пользователей, что «серверы загружают все содержимое ссылки».

Как показали результаты анализа, за исключением Facebook Messenger и Instagram, все остальные приложения установили ограничение в 15-50 МБ, когда дело доходит до загрузки файлов. Slack, например, кеширует превью ссылок примерно на 30 минут.

Facebook Messenger и Instagram загружают файлы целиком, даже если их размер достигает нескольких гигабайтов. Как отметили специалисты, даже в этом случае возникают риски для конфиденциальности пользователей, если серверы сохранят копию и «когда-либо произойдет утечка данных на этих серверах».

Новини по темі

Клип System of А Down на сингл Chop Suey! достиг миллиарда просмотров на YouTube.

Музыкальное видео армяно-американской рок-группы System of a Down на сингл Chop Suey! достигло миллиарда просмотров на YouTube. Это случилось за несколько месяцев до того, как культовой песне исполнится 20 лет.

Масштабное обновление Google Pay: чего ожидать пользователям.

Компания Google сообщила о масштабном обновлении Google Pay. В приложении появится много новых функций. При этом вводят и новые ограничения, в частности, это комиссия 1,5% за мгновенные денежные переводы.

Как изменить приложения по умолчанию в MIUI 12

Каждый день мы решаем, какие приложения будут управлять нашими данными.

СМИ: власти округа Делавэр выплатили хакерам $500 000 в биткоинах.

Информационные системы округа Делавэр в американском штате Пенсильвания подверглись атаке вируса-шифровальщика DoppelPaymer. Власти заплатили вымогателям $500 000 в биткоинах, сообщает Bleeping Computer.

Цена биткоина обновила исторический максимум

В понедельник, 30 ноября, котировки биткоина достигли максимального в истории уровня свыше $19 686, согласно данным сервиса CoinGecko.

Правительство Великобритании просит Netflix добавить в сериал "Корона"предупреждение о вымысле его сюжета.

Правительство Великобритании планирует обратиться к Netflix с просьбой добавить в сериал "Корона" предупреждение для зрителей о том, что его сюжет отчасти - вымысел.

Следующий год может стать прорывом для Windows 10

Компания Microsoft в последнее время выпускает достаточно скромные глобальные обновления для Windows 10, которые не приносят в самую популярную операционную систему никаких серьезных новшеств.

Искусственный интеллект научился превращать текст в видео с языком жестов.

Ученые из Университета Суррея создали нейросеть, которая может превратить текст в видео с человеком, который показывает его языком жестов.

Доступ к электронной почте сотен руководителей компаний выставлен на продажу.

На закрытом русскоязычном киберпреступном форуме Exploit.in продается доступ к сотням ящиков электронной почты директоров компаний по всему миру.

Новые версии Android будут обновляться через Google Play.

После релиза очередной версии Android владельцам смартфонов порой приходится ждать обновления прошивки от производителя несколько месяцев.

2