新しいセキュリティレポートは、チャットアプリケーションで共有されるリンクプレビューが「適切に行われなかった場合の深刻なプライバシー問題.」
研究者のTalalHajBakryとTommyMyskは、IPアドレスを漏らしている脆弱なアプリのいくつかのケースを発見しました, エンドツーエンドで暗号化されたチャットでリンクを公開する, ギガバイト単位のデータを必要なしにサイレントにダウンロードします.
チャットアプリでのリンクプレビューの隠れたリスク
研究者は、リンクプレビューは、単純な機能がセキュリティリスクを隠す方法の良い例であると指摘しています. 彼らの研究中, チームは、AndroidとiOSの人気のあるチャットアプリで機能を実装する方法にいくつかのバグを発見しました.
リンクプレビューの問題は、受信者だけが見る必要のある機密情報が含まれている可能性があることです。. この情報は契約である可能性があります, 医療記録, またはその他の機密文書. 言い換えると, サーバーに依存してプレビューを生成するアプリは、ユーザーのプライバシーを侵害している可能性があります, 分析ノート.
そう, リンクプレビューを使用するアプリ? ほとんどのチャットアプリはそれらを使用します, この機能により、視覚的なプレビューとリンクの簡単な説明を簡単に表示できます。. 一部のアプリ, Signalなどにより、ユーザーはリンクプレビューをオンまたはオフにできます. 他のアプリ, WeChatや チクタク リンクプレビューを生成しない. リンクプレビューを使用するアプリは、送信者または受信者側で、または両方のチャット側に送り返される外部サーバーを介して、2つの方法でそれらを有効にします.
送信者側のリンクプレビューはAppleiMessageに実装されています, 信号 (有効にした場合), Viber, とWhatsApp. これらはリンクをダウンロードすることで機能します, プレビュー画像と概要の作成, 添付ファイルの形で受信者に送信します. 他のユーザーがプレビューを受け取ったとき, リンクを開く必要なしにそのメッセージを表示します.
こちらです, ユーザーは疑わしいリンクから保護されています. 一方で, 受信者側のリンクプレビューにより、脅威アクターがユーザーのおおよその位置を測定できる可能性があります. これは、受信者側で何もしなくても発生する可能性があります; 実行する必要があるのは、脅威アクターによって制御されるサーバーにリンクを送信することだけです。.
これはどのように可能ですか? チャットアプリがリンク付きのメッセージを受信したとき, URLを自動的に開いてプレビューを作成します. でも, このプロセスは、サーバーに送信されるリクエストでデバイスのIPアドレスを開示します. この問題はRedditチャットに存在します, まだ公開されていないが、問題の修正に取り組んでいる別のアプリ.
リンクプレビューがセキュリティを脅かす可能性のある技術的な詳細があります 研究者のブログで.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: