Предварительный просмотр ссылок в мессенджерах может привести к утечке данных

Исследователи кибербезопасности Талал Хадж Бакри (Talal Haj Bakry) и Томми Миск (Tommy Mysk) сообщили о рисках безопасности, связанных с предварительным просмотром ссылок в популярных приложениях для обмена сообщениями. Они могут привести к раскрытию IP-адресов пользователя, раскрытию отправленных через зашифрованные чаты ссылок, и даже незаметной загрузке гигабайтов данных в фоновом режиме.

«Ссылки в чатах могут содержать личную информацию, предназначенную только для получателей. Это могут быть счета, контракты, медицинские записи или что-нибудь конфиденциальное. Приложения могут нарушать конфиденциальность своих пользователей, отправляя ссылки, опубликованные в частном чате, на свои серверы для предварительного просмотра», — отметили эксперты.

Предварительный просмотр ссылок является обычной функцией в большинстве приложений для общения, что позволяет осуществлять предварительный просмотр и демонстрировать краткое описание общей ссылки. Хотя такие приложения, как Signal и Wire, дают пользователям возможность включать или выключать предварительный просмотр ссылок, Threema, TikTok и WeChat, например, вообще не генерируют предварительный просмотр ссылок.

Предварительный просмотр ссылок, созданный на стороне получателя, позволяет злоумышленнику узнать приблизительное местоположение жертвы без каких-либо действий со стороны получателя путем простой отправки ссылки на подконтрольный сервер. Приложение для обмена сообщениями, получив сообщение со ссылкой, автоматически открывает URL-адрес для создания предварительного просмотра, раскрывая IP-адрес телефона в запросе, отправленном на сервер.

Использование внешнего сервера для генерации превью предотвращает раскрытие IP-адреса, однако создает новую проблему — сохраняет ли сервер, используемый для генерации превью, копию. Несколько приложений, включая Discord, Facebook Messenger, Google Hangouts, Instagram, LINE, LinkedIn, Slack, Twitter и Zoom, попадают в данную категорию без каких-либо указаний для пользователей, что «серверы загружают все содержимое ссылки».

Как показали результаты анализа, за исключением Facebook Messenger и Instagram, все остальные приложения установили ограничение в 15-50 МБ, когда дело доходит до загрузки файлов. Slack, например, кеширует превью ссылок примерно на 30 минут.

Facebook Messenger и Instagram загружают файлы целиком, даже если их размер достигает нескольких гигабайтов. Как отметили специалисты, даже в этом случае возникают риски для конфиденциальности пользователей, если серверы сохранят копию и «когда-либо произойдет утечка данных на этих серверах».

Источник: https://www.securitylab.ru/news/513394.php