Uus aruanne Turbeteadlased Talal Haj Bakry ja Tommy Mysk on paljastanud, et sõnumsiderakenduste linkide eelvaated võivad iOS-is ja Androidis põhjustada turva- ja privaatsusprobleeme. Linkide eelvaate abil avastasid Bakry ja Mysk, et rakendused võivad lekkida IP-aadresse, paljastada otspunkti krüptitud vestlustes saadetud linke, laadida alla suuri faile ilma kasutajate nõusolekuta ja kopeerida privaatandmeid.
millal Apple kuulutab välja uued tooted
Linkide eelvaated pakuvad paljudes sõnumsiderakendustes pilku sisule, näiteks veebilehtedele või dokumentidele. Funktsioon võimaldab kasutajatel näha lühikest kokkuvõtet ja eelvaatepilti koos ülejäänud vestlusega, ilma et peaksid linki puudutama.
Sellised rakendused nagu iMessage ja WhatsApp tagavad, et saatja loob eelvaate, mis tähendab, et vastuvõtja on kaitstud riskide eest, kui link on pahatahtlik. Seda seetõttu, et kokkuvõte ja eelvaatepilt luuakse saatja seadmes ja saadetakse manusena. Vastuvõtja seade näitab eelvaadet nii, nagu see saatjalt edastas, ilma linki avamata. See ei mõjuta ka rakendusi, mis ei loo lingi eelvaadet, nagu TikTok ja WeChat.
Probleem tekib siis, kui vastuvõtja loob lingi eelvaate, kuna rakendus avab eelvaate loomiseks lingi automaatselt taustal. See juhtub enne, kui kasutajad isegi linki puudutavad, mis võib avaldada neile pahatahtlikku sisu. Sellised rakendused nagu Reddit loovad linke sel viisil.
Näiteks võib pahatahtlik tegutseja saata lingi oma serverisse. Kui vastuvõtja rakendus avab lingi automaatselt taustal, saadaks see serverile seadme IP-aadressi, paljastades nende asukoha.
See lähenemisviis võib põhjustada probleeme ka siis, kui link osutab suurele failile, misjärel võib rakendus proovida kogu faili alla laadida, tühjendades aku kasutusaega ja tekitades andmeplaani piiranguid.
Linkide eelvaateid saab genereerida ka välises serveris ja nii töötavad paljud populaarsed rakendused nagu Discord, Facebook Messenger, Google Hangouts, Instagram, LinkedIn, Slack, Twitter ja Zoom. Sel juhul saadab rakendus esmalt lingi välisserverisse ja palub genereerida eelvaade ning seejärel saadab server eelvaate tagasi nii saatjale kui ka vastuvõtjale.
iphone 7 pluss une äratamise nupp
See võib aga kujutada endast turvaohtu, kui saadetud lingi sisu on privaatne. Välise serveri kasutamine võimaldab neil rakendustel luua privaatsest teabest volitamata koopiaid ja seda teatud aja säilitada.
Kuigi paljud rakendused olid kehtestanud andmepiirangu selle kohta, kui palju linkide sisu alla laadida, avastasid teadlased, et Facebook Messenger ja Instagram olid eriti silmapaistvad, kuna laadisid oma serveritesse kogu lingi sisu, olenemata suurusest. Kui Facebookilt selle käitumise kohta küsitleti, ütles ta väidetavalt, et ta peab seda 'töötavaks nagu ette nähtud'.
Välistes serverites hoitavate koopiate puhul võidakse rikkuda andmeid, mis võivad olla eriti murettekitavad ärirakenduste (nt Zoom ja Slack) kasutajatele ja neile, kes saadavad linke tundlikele privaatandmetele.
kuidas iphone 11 pro välja lülitada
Uuring pakub hinnangut selle kohta, kuidas sama täpne funktsioon võib erinevatel viisidel töötada ja kuidas need erinevused võivad oluliselt mõjutada turvalisust ja privaatsust. Vaata täielik aruanne rohkem informatsiooni.
Sildid: küberturvalisus , Sõnumid
Lemmik Postitused