江苏龙网

  1. 首页 > 资讯 > 科技 > >

instagram,IOS系统|LinkedIn、Instagram 等应用的链接预览功能可能存在信息泄漏风险( 三 )


同时 , Slack确认它仅将链接预览缓存大约30分钟 。Zoom告诉研究人员 , 它正在调查此漏洞 , 并且正在讨论确保用户隐私的方法 。
研究人员还与Discord , Google Hangouts和LinkedIn进行了联系 , 以汇报他们的发现 , 但截止发稿 , 尚未收到这几家公司的回应 。
远程执行代码漏洞
就代码执行漏洞而言 , 研究人员发布了一段带有概念证明的视频 , 该视频演示了黑客如何在Instagram服务器上运行任何JavaScript代码 。在LinkedIn Messages案例中 , 服务器还容易受到运行JavaScript代码的攻击 , 这使它们可以绕过测试的50 MB下载限制 。
Bakry和Mysk解释说:
“你不能相信那些在聊天中被分享的所有随机链接中都能找到的代码 , 但是 , 我们确实发现至少有两个主要的应用程序可以做到这一点:Instagram和LinkedIn 。我们通过将链接发送到服务器上的网站进行了测试 , 该网站包含仅对我们的服务器进行回调的JavaScript代码 。我们能够确认这些服务器上至少有20秒的执行时间 。听起来可能并不多 , 我们的代码也没做错什么 , 但黑客是有创造力的 。”
至于Twitter Direct Message时 , Mysk告诉Threatpost:
“在我们的测试中 , 攻击者可以在这些服务器上运行任何JavaScript代码 。虽然这可能不会立即造成真正的伤害 , 但允许JavaScript代码运行为专门的攻击者团队敞开了大门 。最简单的攻击就是挖掘这些服务器上的加密货币 , 然后耗尽它们的资源 。”
虽然这两家公司都没有回应研究人员的担忧 , 但Facebook发言人告诉Threatpost , 该功能会按预期运行 , 并且不是安全漏洞 。他还补充说 , 功能的展示方式并未考虑到Instagram为防止代码执行风险而采取的行业标准安全措施 , 并且在报告了漏洞后 , 也没有发现RCE的风险 。
至于LinkedIn , 一位发言人通过电子邮件告诉Threatpost:
“为确保会员安全 , 我们使用沙盒环境评估共享链接的安全风险 。这些环境是短暂的 , 并且具有旨在发现恶意代码执行的严格访问控制 。为此 , 我们会在URL内容中执行JavaScript以确保评估的完整性 。另外 , 我们也不会缓存这些URL的内容 。所有这些措施都是为了检查link的内容是否安全 。”
但Mysk指出 , 这些保护措施可能还不够好 。服务器端缓解措施(例如在沙盒环境中运行JavaScript代码)可以有效地阻止大多数攻击 , 但是更复杂的攻击可能会使攻击者离开沙盒并在受保护的环境之外执行代码 , 这可能使攻击者可以窃取数据和秘密钥匙 。我们已经看到许多成功的逃避Chrome等应用程序中的JavaScript沙箱的尝试 , 并且这些链接预览服务器也是如此 。
总结
涉及到协作应用程序的安全性时 , 链接预览问题只是另一个令人担忧的问题 。由于COVID-19大流行 , 协作应用程序已经成为在家办公的必要条件 。好消息是 , 有些应用程序根本无法渲染预览 , 例如Signal(如果在设置中关闭了链接预览选项) , Threema , TikTok和微信 。
研究人员指出:
“这是处理链接的最安全方法 , 因为除非你特别点击该应用程序 , 否则该应用程序不会对链接进行任何操作 。”
但是 , 研究人员还警告说 , 链接预览是一种普遍现象 。许多电子邮件应用程序、商务应用程序、约会应用程序、带有内置聊天功能的游戏以及其他类型的应用程序可能无法正确地生成链接预览 , 可能很容易受到已经报道过的一些漏洞的影响 。


推荐阅读


上一篇:微信|CRM对接企业微信日程快速实现提醒功能

下一篇:华为手机,5G手机|华为史上最强Mate诞生!66W超级快充+大容量电池