[Информационная безопасность, Мессенджеры, Исследования и прогнозы в IT] Исследование: превью ссылок в мессенджерах выдает личные данные и угрожает безопасности
Автор
Сообщение
news_bot ®
Стаж: 6 лет 2 месяца
Сообщений: 27286
Исследователи Талал Хадж Бакри и Томми Майск выяснили, что функция превью ссылок в мессенджерах может служить утечкам персональных данных. Наиболее серьезные нарушения выявлены в мессенджерах Facebook, Instagram, LinkedIn и Line.
Когда отправитель включает ссылку в сообщение, приложение или назначенный им прокси-сервер должно само перейти по ссылке, открыть файл и узнать, что в нем содержится. Это необходимо, чтобы сформировать превью с текстом и картинкой. Однако в то же время эта функция делает пользователей уязвимыми для атак. В худшем случае происходит загрузка вредоносной программы. Иногда же такой формат приводит к загрузке файлов настолько большого размера, что они вызывают сбой приложения, разряжают батареи устройств или используют ограниченную полосу пропускания. А если ссылка ведет к частным материалам —например, к налоговой декларации, размещенной в частной учетной записи OneDrive или DropBox, — то сервер приложения имеет возможность просматривать и хранить ее в течение неопределенного срока.
Извините, данный ресурс не поддреживается. :( Исследователи обнаружили, что Facebook Messenger и Instagram полностью загружают и копируют связанный файл, даже если он имеет размер в гигабайтах. Оба приложения также запускают любой JavaScript, содержащийся в ссылке. Это проблема, потому что пользователи не могут проверить безопасность JavaScript.
Извините, данный ресурс не поддреживается. :( Бакри и Майск сообщили о своих выводах Facebook, но компания заявила, что оба приложения работают, как и положено.
LinkedIn показывает себя немного лучше. Вместо копирования файлов любого размера он загружает только первые 50 мегабайт.
Извините, данный ресурс не поддреживается. :( Приложение Line открывает зашифрованное сообщение и отправляет ссылку на свой сервер для создания превью. «Мы считаем, что это противоречит цели сквозного шифрования, поскольку серверы Line знают все о ссылках, которые отправляются через приложение, и о том, кто и кому передает какие ссылки», — написали Бакри и Майск.
Извините, данный ресурс не поддреживается. :( Discord, Google Hangouts, Slack, Twitter и Zoom также копируют файлы, но они ограничивают объем данных 15-50 МБ.
Извините, данный ресурс не поддреживается. :( В Viber используется сквозное шифрование, но при отправке ссылки на большой файл устройство автоматически попытается загрузить его полностью, даже если размер достигает нескольких гигабайт.
Функция чата в официальных приложениях Reddit для iOS и Android была уязвима для утечки IP-адресов любого, кто получает превью-ссылку. Команда Reddi уже отреагировала на отчет исследователей и выпустила исправленные версии (2020.36.0 для Android и 2020.37.0 для iOS) своих приложений.
Извините, данный ресурс не поддреживается. :( Извините, данный ресурс не поддреживается. :( В целом, исследование показывает, что большинство приложений для обмена сообщениями работают правильно. Например, Signal, Threema, TikTok и WeChat дают пользователям возможность не получать превью, либо используют относительно безопасные средства для рендеринга.
В сентябре специалисты из Вюрцбургского университета и Дармштадтского технического университета (Германия) сообщили, что WhatsApp и Signal подвергают номера пользователей опасности краулинга. Этому же подвержен и Telegram, хотя и в меньшей мере.
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность, Go, GitHub] GitHub: библиотека для сбора SSL-сертификатов
- [Научно-популярное, Космонавтика] НАСА обнаружило следы воды на видимой стороне Луны
- [Информационная безопасность, Habr, Accessibility, Гаджеты, DIY или Сделай сам] Xакерский мерч | Мантия невидимка
- [Информационная безопасность, Конференции] Онлайн-встреча по информационной безопасности Digital Security ON AIR
- [Информационная безопасность] Security Week 44: серьезная уязвимость в GeForce Experience
- [Информационная безопасность, Законодательство в IT, IT-компании] Яндекс впервые опубликовал отчет прозрачности о взаимодействии с властями
- [Информационная безопасность, IT-инфраструктура, IT-стандарты, Управление персоналом] Защита удаленного доступа (ЗУД) с мобильных устройств
- [Информационная безопасность, Исследования и прогнозы в IT, Статистика в IT] 5 самых интересных инцидентов в области ИБ за сентябрь 2020
- [Управление проектами, Конференции, Лайфхаки для гиков, Видеоконференцсвязь] Как провести нескучный корпоратив в онлайне и собрать аудиторию в 10 500 сотрудников
- [Информационная безопасность, Законодательство в IT] Как развивается ситуация вокруг возможного ввода ограничений на end-to-end шифрование: обзор событий
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_messendzhery (Мессенджеры), #_issledovanija_i_prognozy_v_it (Исследования и прогнозы в IT), #_issledovanie (исследование), #_messendzhery (мессенджеры), #_prevju (превью), #_hranenie_dannyh (хранение данных), #_utechka_dannyh (утечка данных), #_facebook_messenger, #_instagram, #_linkedin, #_line, #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_messendzhery (
Мессенджеры
), #_issledovanija_i_prognozy_v_it (
Исследования и прогнозы в IT
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 03-Май 10:04
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 2 месяца |
|
 Исследователи Талал Хадж Бакри и Томми Майск выяснили, что функция превью ссылок в мессенджерах может служить утечкам персональных данных. Наиболее серьезные нарушения выявлены в мессенджерах Facebook, Instagram, LinkedIn и Line. Когда отправитель включает ссылку в сообщение, приложение или назначенный им прокси-сервер должно само перейти по ссылке, открыть файл и узнать, что в нем содержится. Это необходимо, чтобы сформировать превью с текстом и картинкой. Однако в то же время эта функция делает пользователей уязвимыми для атак. В худшем случае происходит загрузка вредоносной программы. Иногда же такой формат приводит к загрузке файлов настолько большого размера, что они вызывают сбой приложения, разряжают батареи устройств или используют ограниченную полосу пропускания. А если ссылка ведет к частным материалам —например, к налоговой декларации, размещенной в частной учетной записи OneDrive или DropBox, — то сервер приложения имеет возможность просматривать и хранить ее в течение неопределенного срока. Извините, данный ресурс не поддреживается. :( Исследователи обнаружили, что Facebook Messenger и Instagram полностью загружают и копируют связанный файл, даже если он имеет размер в гигабайтах. Оба приложения также запускают любой JavaScript, содержащийся в ссылке. Это проблема, потому что пользователи не могут проверить безопасность JavaScript. Извините, данный ресурс не поддреживается. :( Бакри и Майск сообщили о своих выводах Facebook, но компания заявила, что оба приложения работают, как и положено. LinkedIn показывает себя немного лучше. Вместо копирования файлов любого размера он загружает только первые 50 мегабайт. Извините, данный ресурс не поддреживается. :( Приложение Line открывает зашифрованное сообщение и отправляет ссылку на свой сервер для создания превью. «Мы считаем, что это противоречит цели сквозного шифрования, поскольку серверы Line знают все о ссылках, которые отправляются через приложение, и о том, кто и кому передает какие ссылки», — написали Бакри и Майск. Извините, данный ресурс не поддреживается. :( Discord, Google Hangouts, Slack, Twitter и Zoom также копируют файлы, но они ограничивают объем данных 15-50 МБ. Извините, данный ресурс не поддреживается. :( В Viber используется сквозное шифрование, но при отправке ссылки на большой файл устройство автоматически попытается загрузить его полностью, даже если размер достигает нескольких гигабайт. Функция чата в официальных приложениях Reddit для iOS и Android была уязвима для утечки IP-адресов любого, кто получает превью-ссылку. Команда Reddi уже отреагировала на отчет исследователей и выпустила исправленные версии (2020.36.0 для Android и 2020.37.0 для iOS) своих приложений. Извините, данный ресурс не поддреживается. :( Извините, данный ресурс не поддреживается. :( В целом, исследование показывает, что большинство приложений для обмена сообщениями работают правильно. Например, Signal, Threema, TikTok и WeChat дают пользователям возможность не получать превью, либо используют относительно безопасные средства для рендеринга. В сентябре специалисты из Вюрцбургского университета и Дармштадтского технического университета (Германия) сообщили, что WhatsApp и Signal подвергают номера пользователей опасности краулинга. Этому же подвержен и Telegram, хотя и в меньшей мере. =========== Источник: habr.com =========== Похожие новости:
Информационная безопасность ), #_messendzhery ( Мессенджеры ), #_issledovanija_i_prognozy_v_it ( Исследования и прогнозы в IT ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 03-Май 10:04
Часовой пояс: UTC + 5