חדש להגיש תלונה מאת חוקרי האבטחה Talal Haj Bakry ו- Tommy Mysk חשפו שתצוגה מקדימה של קישורים באפליקציות העברת הודעות יכולה להוביל לבעיות אבטחה ופרטיות ב-iOS וב-Android. באמצעות תצוגות מקדימות של קישורים, Bakry ו-Mysk גילו שאפליקציות יכולות להדליף כתובות IP, לחשוף קישורים שנשלחים בצ'אטים מוצפנים מקצה לקצה, להוריד קבצים גדולים ללא הסכמת המשתמשים ולהעתיק נתונים פרטיים.
איך אני מנקה את המטמון באייפון שלי
תצוגות מקדימות של קישורים מציעות הצצה לתוכן כגון דפי אינטרנט או מסמכים באפליקציות הודעות רבות. התכונה מאפשרת למשתמשים לראות סיכום קצר ותמונה מקדימה בשורה עם שאר השיחה מבלי להקיש על הקישור.
אפליקציות כמו iMessage ו-WhatsApp מבטיחות שהשולח יוצר את התצוגה המקדימה, כלומר המקלט מוגן מפני סיכון אם הקישור זדוני. הסיבה לכך היא שתמונת הסיכום ותמונת התצוגה המקדימה נוצרות במכשיר של השולח ונשלחות כקובץ מצורף. מכשיר המקלט יציג את התצוגה המקדימה כפי שהיא שודרה מהשולח ללא צורך בפתיחת הקישור. גם אפליקציות שאינן יוצרות תצוגה מקדימה של קישור, כגון TikTok ו-WeChat, אינן מושפעות.
הבעיה מתעוררת כאשר המקלט יוצר את התצוגה המקדימה של הקישור, מכיוון שהאפליקציה תפתח אוטומטית את הקישור ברקע כדי ליצור את התצוגה המקדימה. זה מתרחש עוד לפני שמשתמשים מקישים על הקישור, מה שעלול לחשוף אותם לתוכן זדוני. אפליקציות כמו Reddit מייצרות קישורים בדרך זו.
לדוגמה, שחקן זדוני יכול לשלוח קישור לשרת שלו. כאשר האפליקציה של המקלט פותחת אוטומטית את הקישור ברקע, היא תשלח את כתובת ה-IP של המכשיר לשרת וחושפת את מיקומו.
גישה זו עלולה לגרום לבעיות גם אם הקישור מצביע על קובץ גדול, ולאחר מכן האפליקציה עשויה לנסות להוריד את כל הקובץ, לרוקן את חיי הסוללה ולגרום לדימום את מגבלות התוכנית.
ניתן ליצור תצוגות מקדימות של קישורים גם בשרת חיצוני, וכך פועלות אפליקציות פופולריות רבות כמו Discord, Facebook Messenger, Google Hangouts, Instagram, LinkedIn, Slack, Twitter, ו-Zoom. במקרה זה, האפליקציה תשלח תחילה את הקישור לשרת חיצוני ותבקש ממנו ליצור תצוגה מקדימה, ולאחר מכן השרת ישלח את התצוגה המקדימה בחזרה גם לשולח וגם למקבל.
איך לשים אייפון xr במצב dfu
עם זאת, הדבר עלול להוות איום אבטחה כאשר התוכן של הקישור שנשלח הוא פרטי. שימוש בשרת חיצוני מאפשר לאפליקציות אלו ליצור עותקים לא מורשים של מידע פרטי ולשמור אותו לתקופה מסוימת.
למרות שרבות מהאפליקציות הטמיעו מגבלת נתונים על כמה מתוכן קישורים להורדה, החוקרים גילו ש-Facebook Messenger ואינסטגרם בולטים במיוחד בהורדת כל התוכן של כל קישור לשרתים שלה, ללא קשר לגודל. כשנשאלה על התנהגות זו, פייסבוק אמרה לפי הדיווחים שהיא רואה בכך 'עובד כמתוכנן'.
עותקים שנשמרו בשרתים חיצוניים עלולים להיות כפופים להפרות מידע, מה שעשוי להדאיג במיוחד משתמשי אפליקציות עסקיות כגון זום ו-Slack, ואלה ששולחים קישורים לנתונים פרטיים רגישים.
האם זה עולה להשתמש ב-apple pay
המחקר מציע הערכה כיצד אותה תכונה מדויקת יכולה לעבוד בדרכים שונות, וכיצד להבדלים הללו יכולה להיות השפעה משמעותית על האבטחה והפרטיות. ראה את דוח מלא למידע נוסף.
תגיות: אבטחת סייבר , הודעות
רשום פופולרי