Які месенджери зливають ваші дані, розряджають акумулятор і споживають інтернет трафік
Попередній перегляд посилань – безперечно зручна річ. Однак він також може поставити під загрозу конфіденційність та безпеку.
Попередній перегляд посилань (або попередній перегляд) – це функція, яку можна знайти практично в кожному сучасному додатку для обміну повідомленнями, і це не просто там. Вона спрощує онлайн-розмови, показуючи короткий опис сайту, мініатюру зображення або надаючи обидва зображення та текст, пов’язані з файлом, на який вказує посилання.
На жаль, вони можуть видавати наші конфіденційні дані, споживати інтернет, розряджати батареї смартфонів, і навіть відкривати посилання в чатах з наскрізним шифруванням. Згідно з дослідженням, опублікованим у понеділок, найбільш серйозні порушення були виявлені в месенджерах Facebook (хто б сумнівався), Instagram, LinkedIn та Line.
Як працює перегляд?
Коли відправник включає посилання в повідомлення, програма супроводжує її заголовком, коротким текстом та зображенням. Зазвичай це виглядає приблизно так:
Щоб це сталося, сама програма або призначений ним проксі-сервер має перейти за посиланням, відкрити там файл або веб-сайт і дізнатися, що в ньому міститься. І саме це робить користувачів вразливими для атак. Найбільшу небезпеку таять ті програми, які дозволяють завантажувати шкідливі програми, інші ж можна змусити завантажувати файли настільки великого розміру, що вони викликають збій програми, розряджають батарею або споживають обмежений інтернет-трафік.
А якщо посилання веде до приватних матеріалів – наприклад, до податкової декларації, розміщеної у приватному обліковому записі OneDrive або DropBox, – сервер програми отримує можливість переглядати та зберігати її на невизначений термін.
Дослідники Талал Хадж Бакрі та Томмі Миск, які підготували звіт, виявили, що найбільше порушень у Facebook Messenger та Instagram. Як показано на відео нижче, обидві програми завантажують і копіюють пов’язаний файл повністю, навіть якщо він вимірюється в гігабайтах. І це може бути проблемою, якщо користувачі хочуть зберегти конфіденційність файлу, що відправляється.
Сервери Instagram завантажують будь-яке посилання, відправлене в особистих повідомленнях, навіть якщо це 2,6 ГБ.
Завантажуючи ці вкладення, програми можуть споживати величезну кількість інтернет трафіку та заряду батареї. Обидві програми також запускають будь-який JavaScript, що міститься за посиланням. Проблема в тому, що користувачі не мають можливості перевірити безпеку JavaScript коду на сайті, і не можуть очікувати, що месенджери будуть мати на борту такий захист від експлойтів, як сучасні браузери.
Хакери можуть запускати будь-який JavaScript код на серверах Instagram.
Хадж Бакрі і Миск повідомили про свої результати в Facebook, але компанія заявила, що обидві програми працюють належним чином. LinkedIn показав себе трохи краще. Єдина різниця полягала в тому, що замість копіювання файлів будь-якого розміру він копіював лише перші 50 мегабайт.
Тим часом, коли Line відкриває зашифроване повідомлення і знаходить посилання, воно відправляє її на сервер компанії для створення попереднього перегляду.
"Ми вважаємо, що це суперечить меті наскрізного шифрування, оскільки сервери LINE знають все про посилання, які надсилаються через додаток, і про те, хто і кому передає якісь посилання", – написали дослідники.
Discord, Google Hangouts, Slack, Twitter та Zoom також копіюють файли, але вони обмежують обсяг даних від 15 до 50 МБ. У таблиці нижче подано порівняння кожного додатка, включеного до дослідження.
Загалом дослідження – несе в собі хороші новини, адже воно показує, що більшість програм для обміну повідомленнями працюють правильно. Наприклад, Signal, Threema, TikTok та WeChat дають користувачам можливість не отримувати попередній перегляд посилань. Для дійсно конфіденційних повідомлень та користувачів, які хочуть максимальної конфіденційності, це найкращий варіант. Адже навіть якщо є в ньому попередній перегляд, ці додатки використовують відносно безпечні засоби для їхнього рендерингу. На жаль, Томмі та Хадж не включили у своє дослідження Telegram.