Меню
Поиск

Предпросмотр ссылок угрожает безопасности и опустошает батареи

28 октябрь, 2020 - 11:45

Предпросмотр ссылок угрожает безопасности и опустошает батареи

Предварительный просмотр ссылок упрощает онлайновые общение, предоставляя изображения и текст, связанные с файлом, на который указывает ссылка. К сожалению, согласно опубликованному на днях исследованию, предпросмотр также может стать причиной утечки конфиденциальных данных, перерасхода полосы пропускания и преждевременной разрядки аккумуляторов.

Для организации предпросмотра, ссылку должно посетить само приложение (или выбранный им прокси-сервер), что увеличивает уязвимость пользователей к атакам. Авторы исследования утверждают, что наибольшему риску подвергаются пользователи Facebook Messenger и Instagram.

Оба приложения загружают и копируют файл по ссылке полностью. Если его размер — несколько гигабайт, это может привести к зависанию приложения или к затору сетевого подключения. Кроме того, в отличие от остальных мессенджеров, Instagram допускает исполнение на предпросмотровом сервере любого кода JavaScript, связанного со ссылкой.

LinkedIn, Discord, Google Hangouts, Slack, Twitter и Zoom также копируют файлы, но устанавливают ограничения на объём загрузки — от 15 МБ до 50 МБ.

Line отсылает ссылку из зашифрованного сообщения на свой сервер для генерирования предпросмотра. «Мы считаем, что это противоречит целям сквозного шифрования, поскольку серверы LINE знают все о ссылках, которые отправляются через приложение, о том, кто, кому и какие ссылки передаёт», — написали авторы работы. Так, если ссылка ведёт, например, к налоговой декларации, размещённой в частной учётной записи OneDrive или DropBox, — сервер приложения имеет возможность просматривать и хранить её как угодно долго.

В целом, их выводы внушают оптимизм, так как большинство программ обмена сообщений, в том числе Signal, Threema, TikTok и WeChat оставляют пользователям возможность отказаться от предпросмотра ссылок. Даже если просмотр разрешён, эти приложения реализуют его сравнительно безопасно.

Тем не менее, статья, опубликованная в Ars Technica, служит напоминанием, что любое расширение функций чат-сервисов требует тщательного учёта вопросов приватности и безопасности.