nový zpráva bezpečnostní výzkumníci Talal Haj Bakry a Tommy Mysk odhalili, že náhledy odkazů v aplikacích pro zasílání zpráv mohou vést k problémům se zabezpečením a soukromím na iOS a Androidu. Prostřednictvím náhledů odkazů Bakry a Mysk zjistili, že aplikace mohou unikat IP adresy, odhalovat odkazy zaslané v šifrovaných chatech, stahovat velké soubory bez souhlasu uživatelů a kopírovat soukromá data.
jak používat najít můj iphone pro přítele
Náhledy odkazů nabízejí náhled na obsah, jako jsou webové stránky nebo dokumenty v mnoha aplikacích pro zasílání zpráv. Tato funkce umožňuje uživatelům vidět krátké shrnutí a náhled obrázku vložené do zbytku konverzace, aniž by museli klepnout na odkaz.
Aplikace jako iMessage a WhatsApp zajišťují, že odesílatel vygeneruje náhled, což znamená, že příjemce je chráněn před rizikem, pokud je odkaz škodlivý. Je to proto, že souhrnný a náhledový obrázek jsou vytvořeny na zařízení odesílatele a odeslány jako příloha. Zařízení příjemce zobrazí náhled tak, jak byl přenesen od odesílatele, aniž by bylo nutné otevřít odkaz. Aplikace, které vůbec negenerují náhled odkazu, jako jsou TikTok a WeChat, také nejsou ovlivněny.
Problém nastává, když přijímač generuje náhled odkazu, protože aplikace automaticky otevře odkaz na pozadí, aby vytvořil náhled. K tomu dochází ještě předtím, než uživatelé klepnou na odkaz, což je potenciálně vystaví škodlivému obsahu. Aplikace jako Reddit generují odkazy tímto způsobem.
Zákeřný hráč by například mohl poslat odkaz na svůj vlastní server. Když aplikace příjemce automaticky otevře odkaz na pozadí, odešle IP adresu zařízení na server a odhalí jeho polohu.
Tento přístup může také způsobit problémy, pokud odkaz ukazuje na velký soubor, načež se aplikace může pokusit stáhnout celý soubor, čímž dojde k vybití baterie a omezení datového plánu krvácení.
Náhledy odkazů lze generovat i na externím serveru a takto funguje mnoho oblíbených aplikací jako Discord, Facebook Messenger, Google Hangouts, Instagram, LinkedIn, Slack, Twitter a Zoom. V tomto případě aplikace nejprve odešle odkaz na externí server a požádá ho o vygenerování náhledu, a poté server odešle náhled zpět odesílateli i příjemci.
jak uvést iphone do režimu dfu iphone 11
To však může představovat bezpečnostní hrozbu, pokud je obsah odeslaného odkazu soukromý. Použití externího serveru umožňuje těmto aplikacím potenciálně vytvářet neoprávněné kopie soukromých informací a uchovávat je po určitou dobu.
Přestože mnoho aplikací zavedlo datový limit na to, kolik obsahu jakéhokoli odkazu se má stáhnout, výzkumníci zjistili, že Facebook Messenger a Instagram byly obzvláště pozoruhodné tím, že na své servery stahovaly veškerý obsah jakéhokoli odkazu bez ohledu na velikost. Když byl Facebook dotázán na toto chování, údajně řekl, že to považuje za „fungující tak, jak bylo zamýšleno“.
Kopie uchovávané na externích serverech by mohly být předmětem narušení dat, což může být zvláště znepokojivé pro uživatele obchodních aplikací, jako je Zoom a Slack, a ty, kteří odesílají odkazy na citlivá soukromá data.
funkce nerušit na iphone
Výzkum nabízí ocenění toho, jak může stejná přesná funkce fungovat různými způsoby a jak tyto rozdíly mohou mít významný dopad na bezpečnost a soukromí. Viz úplná zpráva Pro více informací.
Štítky: kybernetická bezpečnost , Zprávy
Populární Příspěvky