Linkide eelvaated on vaieldamatult mugav funktsioon. Kuid see võib kahjustada ka privaatsust ja turvalisust.
Lingi eelvaade (või eelvaade) on funktsioon, mida leidub peaaegu kõigis kaasaegsetes sõnumsiderakendustes ja see pole ainult seal. See lihtsustab veebivestlusi, näidates saidi lühikirjeldust, pisipilti või lingitud failiga seotud pilte ja teksti.
Kahjuks võivad nad anda ära ka meie tundlikke andmeid, tarbida Internetti, tühjendada nutitelefoni akusid ja isegi avada linke otsestes krüpteeritud vestlustes. Esmaspäeval avaldatud uuringu kohaselt leiti kõige tõsisemad rikkumised sõnumitoojates Facebook (kahtlemata), Instagram, LinkedIn ja Line.
Kuidas eelvaade töötab?
Kui saatja lisab sõnumisse lingi, lisab rakendus sellele pealkirja, lühikese teksti ja pildi. Tavaliselt näeb see välja umbes selline:
Et see juhtuks, peab rakendus ise või sellele määratud puhverserver järgima linki, avama seal faili või veebisaidi ja vaatama, mida see sisaldab. Ja just see teebki kasutajad rünnakute suhtes haavatavaks. Kõige ohtlikumad rakendused on need, mis võimaldavad teil pahavara alla laadida, samas kui teised võivad olla sunnitud alla laadima nii suuri faile, et need põhjustavad rakenduse kokkujooksmise, aku tühjenemise või piiratud Interneti-liikluse tarbimise .
Ja kui link viib privaatse sisuni, näiteks privaatsele OneDrive või DropBoxi kontole postitatud maksudeklaratsioonile, saab rakenduse server seda lõputult vaadata ja säilitada .
Aruande koostanud teadlased Talal Haj Bakri ja Tommy Mysk leidsid, et kõige rohkem kuritarvitasid Facebook Messengerit ja Instagrami. Nagu allolevas videos näidatud, laadivad mõlemad rakendused alla ja kopeerivad kogu lingitud faili, isegi kui seda mõõdetakse gigabaitides. Ja see võib olla probleem, kui kasutajad soovivad hoida saadetud faili privaatsena.
Instagrami serverid laadivad alla kõik privaatsõnumitega saadetud lingid, isegi kui see on 2,6 GB.
Nende manuste allalaadimisel võivad rakendused tarbida tohutul hulgal Interneti-liiklust ja akut. Mõlemad rakendused käitavad ka lingis sisalduvat JavaScripti. Probleem seisneb selles, et kasutajatel pole võimalust saidil JavaScripti koodi turvalisust kontrollida ja nad ei saa eeldada, et kiirsõnumitoojatel on samasugune ärakasutamise kaitse kui tänapäevastel brauseritel.
Häkkerid saavad Instagrami serverites käivitada mis tahes JavaScripti koodi.
Haj Bakri ja Mysk teatasid oma leidudest Facebookile endale, kuid ettevõtte sõnul töötasid mõlemad rakendused ootuspäraselt. LinkedInil läks veidi paremini. Ainus erinevus seisnes selles, et mis tahes suurusega failide kopeerimise asemel kopeeris see ainult esimesed 50 megabaiti.
Vahepeal, kui rakendus Line avab krüptitud sõnumi ja leiab lingi, saadab see selle ettevõtte serverisse, et luua eelvaade.
"Usume, et see rikub täieliku krüptimise eesmärki, kuna LINE-serverid teavad kõike rakenduse kaudu saadetavatest linkidest ja sellest, kes milliseid linke kellele edastab," kirjutasid teadlased.
Discord, Google Hangouts, Slack, Twitter ja Zoom kopeerivad samuti faile, kuid need piiravad andmemahu 15–50 MB- ni. Allolev tabel annab võrdluse iga uuringusse kaasatud rakenduse kohta.
Üldiselt on uuring hea uudis, kuna see näitab, et enamik sõnumsiderakendusi töötab õigesti. Näiteks Signal, Threema, TikTok ja WeChat annavad kasutajatele võimaluse mitte saada linkide eelvaateid. Tõeliselt tundlike sõnumite ja maksimaalset privaatsust soovivate kasutajate jaoks on need parimad valikud. Lõppude lõpuks, isegi kui selles on eelvaade, kasutavad need rakendused nende renderdamiseks suhteliselt ohutuid vahendeid. Kahjuks ei kaasanud Tommy ja Hajj Telegrami oma uuringusse.