Исследователи выяснили чем опасна функция предпросмотра ссылок

best-messenger-apps.jpg

Талал Хадж Бакри и Томми Мыск провели исследование работы функции предварительного просмотра ссылок в различных приложениях. Оказалось, что приложения используют три подхода, и некоторые в фоновом режиме, без участия пользователя, раскрывают его IP-адрес, тратят впустую трафик и заряд аккумулятора на устройстве.

Что такое предварительный просмотр ссылок?
Когда приходит ссылка с новостной статьёй или документ в Word или PDF, вы видите краткое изложение и изображение, всё это без необходимости нажимать на ссылку. Удобно, но, как выяснилось, не безопасно.

link_preview_example_signal-550x978.png
Предварительный просмотр ссылок в Signal

Подход 0: предпросмотр ссылки не создаётся.
Вам придёт просто ссылка. Это самый безопасный способ, поскольку приложение ничего не будет делать со ссылкой, если вы специально не нажмете на неё.
Среди использованных в тестировании приложений придерживаются этого подхода следующие:
  • Сигнал (если в настройках отключена опция предпросмотра ссылки )
  • Threema
  • Тik Tok
  • WeChat
Подход 1: Ссылка создается на устройстве отправителя.
При таком подходе, когда вы отправляете ссылку, приложение загружает то, что по ссылке. Когда приложение на принимающей стороне получает сообщение, оно покажет результат, полученный от отправителя. Таким образом получатель будет защищен от риска, если ссылка является вредоносной. Этот подход предполагает, что отправитель должен доверять ссылке, так как именно приложение отправителя должно будет открыть ссылку.
Перечисленные ниже приложения придерживаются этого подхода:
  • iMessage
  • Сигнал (если опция ссылки предварительного просмотра включена в настройках)
  • Viber
  • WhatsApp
Подход 2: предварительный просмотр создаётся у получателя.
Это плохо. Этот подход означает, что всякий раз, когда вы получаете ссылку от кого-либо, ваше приложение автоматически открывает ссылку самостоятельно еще до того, как вы нажмете на неё. Вам нужно только открыть сообщение.

Что плохого в таком подходе?
Во-первых: приложение должно подключиться к серверу, на который ведет ссылка, и спросить у него, что находится в ссылке. Это называется запросом GET. Чтобы сервер знал, куда отправить данные, приложение включает IP-адрес вашего телефона в запрос GET. Обычно это нормально, если вы знаете, что планируете открыть ссылку. Но что если злоумышленник хочет узнать ваше приблизительное местоположение?

Если вы используете приложение, которое следует этому подходу, то всё, что нужно сделать злоумышленнику — это отправить вам ссылку на свой собственный сервер, где он сможет записать ваш IP-адрес.
Кроме этого, данный подход также может иметь и другие проблемы, если ссылка на большой файл, например видео или архив. Приложение начнёт пытаться загрузить весь файл, даже если это несколько гигабайт, что приведет к расходу заряда аккумулятора и трафика. Так работает приложение от Reddit.

Подход 3: сервер создает предварительный просмотр.
Когда вы отправляете ссылку, приложение сначала отправляет ссылку на внешний сервер и там создаётся предварительный просмотр, затем сервер отправляет ссылку обратно как отправителю, так и получателю.
На первый взгляд это кажется разумным. Это позволяет избежать проблемы утечки IP. Но предположим, что вы отправили кому-то частную ссылку, например на Dropbox, и не хотите, чтобы кто-то еще видел, что в ней содержится. При таком подходе, серверу необходимо сделать копию того, что находится по ссылке, для создания предварительного просмотра. Теперь вопрос: хранит ли сервер эту копию? Если да, то как долго хранит? Что еще серверы делают с этими данными?
Так работают эти приложения:
  • Discord
  • Facebook Messenger
  • Google Hangouts
  • Instagram
  • LINE
  • LinkedIn
  • Slack
  • Twitter
  • Zoom
Исследователи проверили, какой объём данных серверы скачивают для создания превью. Результаты ниже:
  • Discord: загружает до 15 МБ любых файлов.
  • Facebook Messenger: загружает целые файлы, будь то изображение или видео, даже файлы размером в гигабайты.
  • Google Hangouts: загружает до 20 МБ любых файлов.
  • Instagram: точно так же, как Facebook Messenger, грузит файлы любого типа и любого размера.
  • LINE: до 20 МБ любого файла.
  • LinkedIn: до 50 МБ любого файла.
  • Slack: до 50 МБ любого файла.
  • Twitter: до 25 МБ любого файла.
  • Zoom: до 30 МБ любого файла.
Талал и Томми связывались с представителями Facebook, чтобы сообщить о проблеме, и те ответили, что всё работает как и было задумано.

Также может происходить и утечка зашифрованных ссылок несмотря на то, что только отправитель и получатель могут читать сообщения, и никто другой (даже серверы приложения). Это называется сквозным шифрованием. Среди протестированных приложений были те, которые использовали этот тип шифрования:
  • iMessage
  • Line
  • Сигнал
  • Threema
  • Viber
  • WhatsApp
Поскольку только отправитель или получатель могут читать зашифрованные сообщения и содержащиеся в них ссылки, подход 3 не может быть возможным в этих приложениях, поскольку он полагается на наличие сервера для создания предпросмотров ссылок. Но приложение LINE открывает зашифрованное сообщение и отправляет эту ссылку на сервер LINE для создания превью. Однако это противоречит самой цели сквозного шифрования, поскольку серверы LINE знают всё о ссылках, отправляемых через приложение, и о том, кто и кому какие ссылки передает.

Также есть дыра безопасности, которая позволяет на серверах для создания превью-ссылок исполнять java-скрипты из пересылаемых сообщений. Что может привести к взлому этих серверов. Подобную уязвимость содержат приложения Instagram и LinkedIn.

Энтузиасты после проведения тестов связывались с представителями компаний. Некоторые разработчики ответили.
  • Slack ответили, что их сервера хранят данные около 30 минут.
  • Line признали, что их серверы не должны пересылать IP-адреса своих пользователей, но по-прежнему считают приемлемым для приложения чата со сквозным шифрованием использовать внешний сервер для создания ссылок. Однако, обновили включили в него эту информацию и рассказали, как отключить предварительный просмотр ссылок. Начиная с версий 10.18.0 для Android и 10.16.1 для iOS, приложения больше не пропускают IP-адреса при создании превью ссылок.
  • Viber исследователи обнаружили ошибку: если отправить ссылку на большой файл, то телефон автоматически попытается загрузить весь файл, даже если его размер составляет несколько гигабайт. Также стоит упомянуть, что даже несмотря на то, что чаты Viber зашифрованы, нажатие на ссылку заставит приложение перенаправить эту ссылку на серверы Viber в целях защиты от мошенничества и для персонализированной рекламы. Дополнительную информацию об этом можно найти их . Других комментариев от поддержки не поступило.
Вы должны быть зарегистрированы, чтобы увидеть медиа
ошибка в Viber заставляет приложение загружать файлы большого размера

Что же делать и как теперь быть? Рекомендация старая — соблюдать разумные меры для собственной безопасности, постараться не использовать мессенджеры для отправки конфиденциальной информации. Также можно ставить пароль на отправляемые архивы.

Чтобы оставаться в курсе актуальных новостей оставайтесь с нами и подписывайтесь на наш канал в .
 
Последнее редактирование:
  • Спасибо
Благодарности: atom, Volkoffstein, brant34 и 5 других
Вернуться к: На злобу дня
про дырявые помойки в виде ватса/вайбера мы знаем, а что там у телеграмма?
1.0
А у него даже ссылки на YouTube не всегда обрабатываются. То покажет предпросмотр, то не покажет.
 
Телегу там тоже рассматривали, но пока не опубликовали результаты. Видимо, ждут ответ от них.