`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Предпросмотр ссылок угрожает безопасности и опустошает батареи

+11
голос

Предпросмотр ссылок угрожает безопасности и опустошает батареи

Предварительный просмотр ссылок упрощает онлайновые общение, предоставляя изображения и текст, связанные с файлом, на который указывает ссылка. К сожалению, согласно опубликованному на днях исследованию, предпросмотр также может стать причиной утечки конфиденциальных данных, перерасхода полосы пропускания и преждевременной разрядки аккумуляторов.

Для организации предпросмотра, ссылку должно посетить само приложение (или выбранный им прокси-сервер), что увеличивает уязвимость пользователей к атакам. Авторы исследования утверждают, что наибольшему риску подвергаются пользователи Facebook Messenger и Instagram.

Оба приложения загружают и копируют файл по ссылке полностью. Если его размер — несколько гигабайт, это может привести к зависанию приложения или к затору сетевого подключения. Кроме того, в отличие от остальных мессенджеров, Instagram допускает исполнение на предпросмотровом сервере любого кода JavaScript, связанного со ссылкой.

LinkedIn, Discord, Google Hangouts, Slack, Twitter и Zoom также копируют файлы, но устанавливают ограничения на объём загрузки — от 15 МБ до 50 МБ.

Line отсылает ссылку из зашифрованного сообщения на свой сервер для генерирования предпросмотра. «Мы считаем, что это противоречит целям сквозного шифрования, поскольку серверы LINE знают все о ссылках, которые отправляются через приложение, о том, кто, кому и какие ссылки передаёт», — написали авторы работы. Так, если ссылка ведёт, например, к налоговой декларации, размещённой в частной учётной записи OneDrive или DropBox, — сервер приложения имеет возможность просматривать и хранить её как угодно долго.

В целом, их выводы внушают оптимизм, так как большинство программ обмена сообщений, в том числе Signal, Threema, TikTok и WeChat оставляют пользователям возможность отказаться от предпросмотра ссылок. Даже если просмотр разрешён, эти приложения реализуют его сравнительно безопасно.

Тем не менее, статья, опубликованная в Ars Technica, служит напоминанием, что любое расширение функций чат-сервисов требует тщательного учёта вопросов приватности и безопасности.

Дізнайтесь більше про мікро-ЦОД EcoStruxure висотою 6U

+11
голос

Напечатать Отправить другу

Читайте также

 

Slack подает жалобу на Microsoft и требует антимонопольного расследования от ЕС

 
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT