江苏龙网

  1. 首页 > 资讯 > 科技 > >

instagram,IOS系统|LinkedIn、Instagram 等应用的链接预览功能可能存在信息泄漏风险

instagram,IOS系统|LinkedIn、Instagram 等应用的链接预览功能可能存在信息泄漏风险
文章图片

文章图片

研究人员最接近发现包括LINE , Slack , Twitter DM等流行的聊天应用程序竟然可以泄漏位置数据并与第三方服务器共享这些私人信息 。
【instagram,IOS系统|LinkedIn、Instagram 等应用的链接预览功能可能存在信息泄漏风险】一般来说 , iOS和Android上流行的聊天应用程序中的链接预览是安全和隐私漏洞的焦点 。Facebook Messenger , LINE , Slack , Twitter Direct Messages , Zoom等都存在这样的风险 。根据分析 , 对于Instagram和LinkedIn来说 , 攻击者甚至可以通过该功能在公司服务器上执行远程代码 。
链接预览是大多数聊天应用程序中的标准功能 , 而且它们非常有用 。当用户发送一个链接时 , 它会在聊天中在线呈现一个简短的摘要和预览图像 , 因此其他用户不必点击链接即可查看它指向的内容 。
不幸的是 , 这也有其不利的一面 。据独立研究人员Talal Haj Bakry和Tommy Mysk称 , 该功能可能泄漏IP地址 , 暴漏发送到端到端加密聊天中的链接 , 并被发现“在后台悄悄下载了大量不必要的数据” 。早在今年3月 , 安全专家Talal Haj Bakry和Tommy Mysk的最新研究就发现 , 数十款热门iOS应用程序在未经用户许可的情况下读取剪贴板的内容 , 而其中可能会包含一些敏感信息 。根据调查发现 , 包括TikTok、8 Ball Pool?和Hotels.com等诸多热门应用都会在后台悄然读取剪贴板上的所有文本内容 。从iOS 13.3开始 , iOS和iPadOS应用程序可以不受限制地访问系统范围的剪贴板 。
根据研究人员的说法 , 这个漏洞要归结于预览的生成方式 。有三种方法可以执行此操作:发送方可以生成它;接收方可以生成它 , 服务器可以生成它 。最后两个是有漏洞的 , 因为服务器生成的版本是最令人担忧的 。
安全专家Talal Haj Bakry和Tommy Mysk 很惊奇 , 应用程序如何知道摘要中显示的内容? 如何它必须以某种方式自动打开链接以了解其中的内容 , 那这安全吗?如果链接包含恶意软件怎么办?或者 , 如果链接指向一个非常大的文件 , 而你又不希望该应用被下载并预览你的数据 , 该怎么办?”
发件人生成的链接
如果发件人生成预览 , 则该应用将运行并下载链接中的内容 , 创建网站的摘要和预览图像 , 并将其作为附件与链接一起发送 。
研究人员在本周的一篇文章中解释说:“当接收端的应用收到消息时 , 它将显示从发件人处获得的预览 , 而无需完全打开链接 。通过这种方式 , 如果链接是恶意的 , 则可以保护接收者免受风险 。”
研究人员指出 , iMessage , Signal(如果在设置中打开了链接预览选项) , Viber和WhatsApp都遵循此最佳实践方法 。但是 , 当谈到Viber时 , 却会出现一个例外 。
研究人员指出:
“如果你发送指向大文件的链接 , 则手机将自动尝试下载整个文件 , 即使文件大小为几个GB大小 。值得一提的是 , 即使Viber聊天是端到端加密的 , 点击链接也会使该应用将该链接转发到Viber服务器 , 以防欺诈和提供个性化广告 。”
instagram,IOS系统|LinkedIn、Instagram 等应用的链接预览功能可能存在信息泄漏风险
文章图片

文章图片

典型的链接预览
收件人生成的链接
接收者生成预览时 , 这意味着该应用将自动打开发送给它的任何链接 , 而无需用户进行交互 。不过 , 该过程可能泄漏位置数据 。
那泄漏位置数据是如何发生的呢?让我们简要解释一下当应用打开链接时会发生什么 。首先 , 应用程序必须连接到链接所指向的服务器 , 并询问链接中包含的内容 , 这被称为GET请求 。为了使服务器知道将数据发送回何处 , 该应用程序会将你手机的IP地址包含在GET请求中 。


推荐阅读


上一篇:微信|CRM对接企业微信日程快速实现提醒功能

下一篇:华为手机,5G手机|华为史上最强Mate诞生!66W超级快充+大容量电池