Hacki życiowe, przydatne wskazówki, zalecenia. Artykuły dla mężczyzn i kobiet. Piszemy o technologii i o wszystkim, co ciekawe.

Jakie komunikatory wyciekają Twoje dane, drenują baterię i zużywają ruch internetowy

1

Podgląd linków to niezaprzeczalnie przydatna funkcja. Jednak może to również zagrozić prywatności i bezpieczeństwu.

Podgląd łącza (lub podgląd) to funkcja, którą można znaleźć w prawie każdej nowoczesnej aplikacji do przesyłania wiadomości, i to nie tylko tam. Upraszcza konwersacje online, wyświetlając krótki opis witryny, obraz miniatury lub zarówno obrazy, jak i tekst powiązany z połączonym plikiem.

Niestety, mogą też zdradzać nasze poufne dane, konsumować internet, drenować baterie smartfonów, a nawet otwierać linki w zaszyfrowanych czatach typu end-to-end. Według badania opublikowanego w poniedziałek, najpoważniejsze naruszenia stwierdzono w komunikatorach Facebook (bez wątpienia), Instagram, LinkedIn i Line.

Jak działa podgląd?

Gdy nadawca dołącza link do wiadomości, aplikacja dołącza do niego tytuł, krótki tekst i obraz. Zwykle wygląda to mniej więcej tak:

Aby tak się stało, sama aplikacja lub przypisany do niej serwer proxy musi wejść w link, otworzyć znajdujący się tam plik lub stronę internetową i zobaczyć, co zawiera. I właśnie to sprawia, że ​​użytkownicy są podatni na ataki. Najbardziej niebezpieczne aplikacje to te, które umożliwiają pobieranie złośliwego oprogramowania, podczas gdy inne mogą być zmuszane do pobierania plików tak dużych, że powodują awarie aplikacji, wyczerpują baterię lub ograniczają ruch internetowy.

A jeśli łącze prowadzi do treści prywatnych, takich jak zeznanie podatkowe opublikowane na prywatnym koncie OneDrive lub DropBox, serwer aplikacji może przeglądać i przechowywać je przez czas nieokreślony.

Badacze Talal Haj Bakri i Tommy Mysk, którzy opracowali raport, odkryli, że Facebook Messenger i Instagram miały najwięcej nadużyć. Jak pokazano na poniższym filmie, obie aplikacje pobierają i kopiują cały połączony plik, nawet jeśli jest mierzony w gigabajtach. Może to stanowić problem, jeśli użytkownicy chcą zachować plik, który wysyłają jako prywatny.

Serwery Instagrama pobiorą każdy link wysłany w wiadomości prywatnej, nawet jeśli ma 2,6 GB.

Pobierając te załączniki, aplikacje mogą zużywać ogromne ilości ruchu internetowego i energii baterii. Obie aplikacje uruchamiają również dowolny JavaScript zawarty w łączu. Problem polega na tym, że użytkownicy nie mają możliwości sprawdzenia bezpieczeństwa kodu JavaScript na stronie i nie mogą oczekiwać, że komunikatory internetowe będą miały taką samą ochronę przed exploitami, jak nowoczesne przeglądarki.

Hakerzy mogą uruchomić dowolny kod JavaScript na serwerach Instagrama.

Haj Bakri i Mysk zgłosili swoje ustalenia do samego Facebooka, ale firma twierdzi, że obie aplikacje działają zgodnie z oczekiwaniami. Nieco lepiej radził sobie LinkedIn . Jedyną różnicą było to, że zamiast kopiować pliki dowolnego rozmiaru, kopiował tylko pierwsze 50 megabajtów.

W międzyczasie, gdy aplikacja Line otwiera zaszyfrowaną wiadomość i znajduje link, wysyła go na serwer firmy w celu wygenerowania podglądu.

„Uważamy, że jest to sprzeczne z celem szyfrowania typu end-to-end, ponieważ serwery LINE wiedzą wszystko o linkach wysyłanych przez aplikację i kto komu przekazuje które linki" – napisali naukowcy.

Discord, Google Hangouts, Slack, Twitter i Zoom również kopiują pliki, ale ograniczają ilość danych do 15 MB i 50 MB. Poniższa tabela zawiera porównanie każdej aplikacji uwzględnionej w badaniu.

Jakie komunikatory wyciekają Twoje dane, drenują baterię i zużywają ruch internetowy

Ogólnie rzecz biorąc, badanie to dobra wiadomość, ponieważ pokazuje, że większość aplikacji do przesyłania wiadomości działa poprawnie. Na przykład Signal, Threema, TikTok i WeChat dają użytkownikom opcję nieotrzymywania podglądu linków. W przypadku naprawdę wrażliwych wiadomości i użytkowników, którzy chcą maksymalnej prywatności, są to najlepsze opcje. W końcu nawet jeśli jest w nim podgląd, aplikacje te używają stosunkowo bezpiecznych środków do ich renderowania. Niestety, Tommy i Hajj nie uwzględnili Telegrama w swoich badaniach.

Ta strona korzysta z plików cookie, aby poprawić Twoje wrażenia. Zakładamy, że nie masz nic przeciwko, ale możesz zrezygnować, jeśli chcesz. Akceptuję Więcej szczegółów