Nový správa výskumníci v oblasti bezpečnosti Talal Haj Bakry a Tommy Mysk odhalili, že ukážky odkazov v aplikáciách na odosielanie správ môžu viesť k problémom so zabezpečením a ochranou súkromia v systémoch iOS a Android. Prostredníctvom ukážok odkazov Bakry a Mysk zistili, že aplikácie môžu prezrádzať IP adresy, odhaľovať odkazy odoslané v šifrovaných chatoch typu end-to-end, sťahovať veľké súbory bez súhlasu používateľov a kopírovať súkromné údaje.
ako dlho vydrží batéria Apple Watch
Ukážky odkazov ponúkajú náhľad na obsah, ako sú webové stránky alebo dokumenty v mnohých aplikáciách na odosielanie správ. Táto funkcia umožňuje používateľom vidieť krátke zhrnutie a ukážku obrázka v súlade so zvyškom konverzácie bez toho, aby museli klepnúť na odkaz.
Aplikácie ako iMessage a WhatsApp zabezpečujú, že odosielateľ vygeneruje náhľad, čo znamená, že príjemca je chránený pred rizikom, ak je odkaz škodlivý. Súhrnný a náhľadový obrázok sú totiž vytvorené na zariadení odosielateľa a odoslané ako príloha. Zariadenie príjemcu zobrazí ukážku tak, ako bola odoslaná od odosielateľa bez toho, aby bolo potrebné otvárať odkaz. Aplikácie, ktoré vôbec negenerujú ukážku odkazu, ako napríklad TikTok a WeChat, tiež nie sú ovplyvnené.
Problém nastáva, keď prijímač vygeneruje ukážku odkazu, pretože aplikácia automaticky otvorí odkaz na pozadí, aby vytvorila ukážku. Stáva sa to skôr, ako používatelia klepnú na odkaz, čo ich môže vystaviť škodlivému obsahu. Aplikácie ako Reddit generujú odkazy týmto spôsobom.
Zákerný hráč by napríklad mohol poslať odkaz na ich vlastný server. Keď aplikácia prijímača automaticky otvorí odkaz na pozadí, odošle IP adresu zariadenia na server a odhalí jeho polohu.
Tento prístup môže tiež spôsobiť problémy, ak odkaz ukazuje na veľký súbor, načo sa aplikácia môže pokúsiť stiahnuť celý súbor, čím sa vybije životnosť batérie a dôjde k krvácaniu limitov dátového plánu.
Ukážky odkazov je možné generovať aj na externom serveri a takto fungujú mnohé populárne aplikácie ako Discord, Facebook Messenger, Google Hangouts, Instagram, LinkedIn, Slack, Twitter a Zoom. V tomto prípade aplikácia najprv odošle odkaz na externý server a požiada ho o vygenerovanie ukážky a potom server odošle ukážku späť odosielateľovi aj príjemcovi.
obnoviť továrenské nastavenia iphone 6
To však môže predstavovať bezpečnostnú hrozbu, ak je obsah odosielaného odkazu súkromný. Používanie externého servera umožňuje týmto aplikáciám potenciálne vytvárať neoprávnené kópie súkromných informácií a uchovávať ich po určitú dobu.
Hoci mnohé z aplikácií implementovali dátový limit na to, koľko obsahu akéhokoľvek odkazu sa má stiahnuť, výskumníci zistili, že Facebook Messenger a Instagram boli obzvlášť pozoruhodné tým, že stiahli celý obsah akéhokoľvek odkazu na svoje servery bez ohľadu na veľkosť. Na otázku o tomto správaní Facebook údajne povedal, že to považuje za „fungovanie podľa plánu“.
Kópie uchovávané na externých serveroch by mohli byť predmetom porušenia ochrany údajov, čo môže byť obzvlášť znepokojujúce pre používateľov obchodných aplikácií, ako sú Zoom a Slack, a tých, ktorí posielajú odkazy na citlivé súkromné údaje.
ako nastaviť časovač pre hudbu na iphone
Výskum ponúka ocenenie toho, ako môže tá istá presná funkcia fungovať rôznymi spôsobmi a ako tieto rozdiely môžu mať významný vplyv na bezpečnosť a súkromie. Pozrite si úplná správa Pre viac informácií.
Tagy: kybernetická bezpečnosť , Správy
Populárne Príspevky