افشا شدن اطلاعات شخصی شما تنها از طریق پیش نمایش لینک ها !

محققان امنیتی ، طلال حاج باکری و تامی میسک ، یک پست وبلاگی منتشر کردند که در آن جزئیات خطرات امنیتی که پیش نمایش پیوند می تواند ایجاد کند ، ارائه شده است. تقریباً همه برنامه های پیام رسان پیش نمایش پیوند را ارائه می دهند و این محققان توضیح داده اند که اگر به درستی کنترل نشود ، این ویژگی می تواند یک راه حل جدی برای حفظ حریم خصوصی باشد.

خبر را برای من بخوان

افشا شدن اطلاعات شخصی شما تنها از طریق پیش نمایش لینک ها !


محققان امنیتی ، طلال حاج باکری و تامی میسک ، یک پست وبلاگی منتشر کردند که در آن جزئیات خطرات امنیتی که پیش نمایش پیوند می تواند ایجاد کند ، ارائه شده است. تقریباً همه برنامه های پیام رسان پیش نمایش پیوند را ارائه می دهند و این محققان توضیح داده اند که اگر به درستی کنترل نشود ، این ویژگی می تواند یک راه حل جدی برای حفظ حریم خصوصی باشد. آنها جزئیات چگونگی ایجاد خلأهای جدی اینستاگرام و فیس بوک مسنجر را که باید برطرف شود ، آورده اند. در مطالعه موردی خود ، آنها چندین اشکال مانند نشت آدرس IP ، افشای پیوندهای ارسال شده در چت های رمزگذاری شده end to end و بارگیری بی مورد گیگابایت ها داده را در پس زمینه پیدا کردند.

در یک پست وبلاگ ، Mysk و Bakry جزئیات نحوه استفاده برنامه های چت از رویکردهای مختلف برای تولید پیش نمایش پیوندها را بیان می کنند. آنها توضیح دادند که Reddit با باز کردن خودکار پیوند حتی قبل از ضربه زدن روی آن ، پیش نمایش پیوند ایجاد می کند. فقط کاربران باید این پیام را در Reddit ببینند تا این برنامه نویسی backend را راه اندازی کنند. این روش می تواند منجر به این شود که مهاجمان مخرب آدرس IP شما را دریافت کنند که به طور غیر مستقیم منجر به جزئیات مکان شما شود. در این گزارش آمده است که Reddit پس از تماس محققان با آنها این مشکل را برطرف کرده است.

برنامه هایی مانند Discord ، Facebook Messenger ، Google Hangouts ، Instagram ، Line ، LinkedIn ، Slack ، Twitter و Zoom از روش دیگری استفاده می کنند که شامل پیوند به سرور خارجی برای تولید پیش نمایش است. سرور پیش نمایش را هم برای فرستنده و هم برای گیرنده ارسال می کند. با استفاده از این روش ، سرور برای تولید پیش نمایش باید از آنچه در پیوند است کپی کند و این کپی می تواند در سرور ذخیره شود و بعداً از آن سو استفاده شود.

این روش می تواند حریم خصوصی کاربران آنها را با ارسال پیوندهای به اشتراک گذاشته شده در یک چت خصوصی به سرورهایشان نقض کند. این پیوندها ممکن است حاوی اطلاعات خصوصی باشد که فقط برای گیرندگان در نظر گرفته شده است. این می تواند قبض ها ، قراردادها ، سوابق پزشکی یا هر چیز محرمانه تری باشد. مشخص شد که برنامه Line در حال ارسال پیوندهای رمزگذاری شده انتها به انتهای (e2ee) به سرورها برای تولید پیش نمایش ها است و هدف e2ee را کاملاً شکست می دهد.

در حالی که برخی از برنامه ها محدودیتی در میزان جمع آوری و ذخیره اطلاعات دارند ، اینستاگرام و مسنجر فیس بوک هیچ محدودیتی ندارند و می توانند هر چیزی را به اندازه بارگیری کنند. محققان نشان می دهند که اینستاگرام توانسته پیوندی به ابعاد 2.7 گیگابایت را در چندین سرور فیس بوک بارگیری کند. این پیوند در هشت سرور فیس بوک بارگیری شده و تقریباً 24.7 گیگابایت داده فقط از طریق آن پیوند مشترک در اینستاگرام بارگیری شده است. این با توجه به اینکه اکثر برنامه ها محدودیت بارگیری دارند ، نگران کننده است. فیس بوک و اینستاگرام هر دو هنوز به اعلان ارسال شده توسط این محققان پاسخ نداده اند.

Slack محدودیت بارگیری 50 مگابایت دارد ، در حالی که LinkedIn این محدودیت را در 30 مگابایت محدود کرده است. حتی با وجود این محدودیت ها ، در صورت هک شدن این سرورها می تواند منجر به نقض حریم خصوصی شود. محققان خاطرنشان می کنند که رویکرد جمع آوری شده توسط WhatsApp ، Signal ، iMessage و Viber استفاده می شود که در آن برنامه "از آنجا می رود و آنچه را که در پیوند است بارگیری می کند. این یک خلاصه و یک تصویر پیش نمایش از وب سایت ایجاد می کند ، و این برای شما ارسال می شود به عنوان پیوست همراه با پیوند. هنگامی که برنامه در انتهای دریافت کننده پیام آن را دریافت می کند ، پیش نمایش را همانطور که از فرستنده دریافت کرده است بدون نیاز به باز کردن لینک ، نشان می دهد. به این ترتیب ، گیرنده در برابر خطر محافظت می شود اگر پیوند مخرب باشد. این روش فرض می کند هر کسی که پیوند را ارسال می کند باید به آن اعتماد کند ، زیرا این برنامه ارسال کننده است که باید پیوند را باز کند. " رویکرد استفاده شده توسط اکثر برنامه ها برای ارسال پیوند به سرورها توسط عوامل تهدید برای اجرای کد بالقوه مخرب در پیش نمایش پیوندها مورد سو استفاده قرار می گیرد. WeChat ، Threema و TikTok به هیچ وجه پیش نمایش پیوند ایجاد نمی کنند و حتی سیگنال نیز این گزینه را دارد که در صورت تمایل آن را خاموش کند.