Дослідники кібербезпеки Talal Haj Bakry і Tommy Mysk повідомили про ризики безпеки, які пов’язані з попереднім переглядом посилань в популярних додатках для обміну повідомленнями. Вони можуть привести до розкриття IP-адрес користувача, розкриття відправлених через зашифровані чати посилань, і навіть непомітного завантаження гігабайтів даних у фоновому режимі.

“Посилання в чатах можуть містити особисту інформацію, призначену тільки для одержувачів. Це можуть бути рахунки, контракти, медичні записи або що-небудь конфіденційне. Додатки можуть порушувати конфіденційність своїх користувачів, відправляючи посилання, опубліковані в приватному чаті, на свої сервери для попереднього перегляду”, – відзначили експерти.

Попередній перегляд посилань є звичайною функцією в більшості додатків для спілкування, що дозволяє здійснювати попередній перегляд і демонструвати короткий опис загальної посилання. Хоча такі додатки, як Signal і Wire, дають користувачам можливість вмикати або вимикати попередній перегляд посилань, Threema, TikTok і WeChat, наприклад, взагалі не генерують попередній перегляд посилань.

Попередній перегляд посилань, створений на стороні одержувача, дозволяє зловмисникові дізнатися приблизне місце розташування жертви без будь-яких дій з боку одержувача шляхом простої відправки посилання на підконтрольний сервер. Додаток для обміну повідомленнями, отримавши повідомлення з посиланням, автоматично відкриває URL-адресу для створення попереднього перегляду, розкриваючи IP-адресу телефону в запиті, надісланому на сервер.

Використання зовнішнього сервера для генерації прев’ю запобігає розкриття IP-адреси, однак створює нову проблему – чи зберігає сервер, який використовується для генерації прев’ю, копію. Кілька додатків, включаючи Discord, Facebook Messenger, Google Hangouts, Instagram, LINE, LinkedIn, Slack, Twitter і Zoom потрапляють в цю категорію. Адже без будь-яких вказівок для користувачів “сервери завантажують весь вміст посилання”.

Як показали результати аналізу, за винятком Facebook Messenger і Instagram, всі інші додатки встановили обмеження в 15-50 МБ, коли справа доходить до завантаження файлів. Slack, наприклад, кешує превью посилань приблизно на 30 хвилин.

Facebook Messenger і Instagram завантажують файли повністю, навіть якщо їх розмір досягає декількох гігабайт. Як відзначили фахівці, навіть в цьому випадку виникають ризики для конфіденційності користувачів, якщо сервери збережуть копію і станеться витік даних на цих серверах.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Фішингові листи: розпізнаємо шахрайство на реальному прикладі

Як вимкнути веб-камеру та мікрофон у Zoom? – ІНСТРУКЦІЯ

Як змінити ім’я користувача у Twitter? – ІНСТРУКЦІЯ

Як виявити шахрайство з технічною підтримкою та уникнути його? Поради

Як виміряти рівень кисню у крові за допомогою Apple Watch? – ІНСТРУКЦІЯ

Як увімкнути нову функцію відстеження миття рук на Apple Watch? – ІНСТРУКЦІЯ

Нагадаємо, оператор платіжної системи Mastercard готує до пробних випробувань банківську карту F.CODE Easy, що використовує відбитки пальців для підтвердження прав на транзакцію в платіжних терміналах магазинів.

Також з’явився мобільний додаток доповненої реальності #PrisonersVoice, який привертає увагу міжнародної спільноти до українських бранців Кремля та до системного порушення Російською Федерацією прав людини загалом.

До речі, експерт з інтернет-безпеки, “білий хакер” із Нідерландів Віктор Геверс, відомий тим, що зміг зайти на екаунт президента США Дональда Трампа в 2016 році, повторив свій “успіх” в 2020 році.

Окрім цього, кіберзлочинне угруповання викрало понад 3 Тб приватних відео та розмістило їх на сайтах для дорослих. Серед викладених матеріалів були як відверто інтимні, так і цілком буденні. Зловмисники отримали доступ до понад 50 тисяч особистих IP-камер, що дозволило зібрати колекцію відеоматеріалів.

А 30-річний житель Івано-Франківщини створив веб-сайти, де на платній основі надавав доступ до перегляду фільмів. Засновник онлайн-кінотеатрів не мав дозволів від правовласників на розповсюдження їхніх творів та порушив авторські права двох іноземних кінокомпаній.