پیش ‌نمایش لینک در پیام ‌رسان ‌ها ممکن است اطلاعات کاربران را فاش کند

به گزارش سرویس تازه های دنیای فناوری مجله تک تایمز ،

تقریبا تمامی اپلیکیشن‌های پیام‌رسان محبوب قابلیت پیش‌نمایش لینک (Link Preview) را ارائه می‌دهند. این قابلیت به کاربران امکان می‌دهد محتوای URL-ها را در زمانی سریع و پیش از بازکردن لینک، مشاهده کنند. طلال حاج بکری و تامی میسک دو محقق امنیتی هستند که می‌گویند قابلیت پیش‌نمایش لینک می‌تواند باعث افشای داده‌های کاربران در اپلیکیشن‌های سیستم‌های عامل اندروید و iOS شود.

وقتی لینک مدنظر خود را درون اپلیکیشن‌های پیام‌رسان نظیر فیسبوک مسنجر (Messenger)، واتساپ و آی‌مسیج (iMessage) برای طرف مقابل می‌فرستید، اپلیکیشن به‌صورت خودکار، پیش‌نمایشی از آن لینک تولید می‌کند که به‌طور معمول حاوی عکس و عنوان اصلی و گاهی اوقات متنی کوتاه است. در نگاه اول قابلیت پیش‌نمایش لینک کاربرد بسیار زیادی دارد، اما بکری و میسک نگرانی‌هایی درباره‌ی امنیت این قابلیت دارند.

محققان می‌گویند: «بیایید قدمی به عقب برگردیم و با خود فکر کنیم که پیش‌نمایش لینک‌ها چگونه خلق می‌شود؟ اپلیکیشن چگونه می‌داند که باید چه چیزهایی را در پیش‌نمایش نشان دهد؟ اپلیکیشن باید به‌نوعی به‌صورت خودکار لینک را باز کند تا محتویاتش را بفهمد. آیا فرایند باز شدن لینک توسط اپلیکیشن، امن است؟ اگر لینک مدنظر حاوی بدافزار باشد چه؟ یا اینکه اگر لینک موردبحث به فایلی بسیار حجیم مربوط باشد و شما نخواهید این فایل را دانلود و حجم اینترنت را مصرف کنید، چه اتفاقی می‌افتد؟».

سه روش برای خلق پیش‌نمایش لینک وجود دارد که پرخطرترینِ آن‌ها مربوط به اینستاگرام و توییتر است

محققان امنیتی در ادامه‌ی ویدئوی خود می‌گویند راه‌های مختلفی برای خلق پیش‌نمایش لینک وجود دارد و بعضی از این روش‌ها امن‌تر از روش‌های دیگر هستند. برای مثال آی‌مسیج و واتساپ در همان لحظه‌ای که شما URL برای دیگران می‌فرستید، محتوای درون آن را استخراج می‌کنند. این یعنی شما می‌دانید چه محتوایی درحال به‌اشتراک‌گذاشته‌شدن است و طرف مقابل‌تان پیش‌نمایشی دریافت می‌کند که توسط شما خلق شده است.

ردیت و دیگر اپلیکیشن‌ها پیش‌نمایش لینک را روی دستگاهِ فردِ گیرنده‌ی URL می‌سازند. در این دسته از اپلیکیشن‌ها به‌محض دریافت لینک، URL در پس‌زمینه باز و پیش‌نمایش آن خلق می‌شود. در این روش، فرد سودجو ممکن است لینکی حاوی بدافزاری که داده‌های دستگاه نظیر آدرس IP گوشی را جمع‌آوری کند برای شما بفرستد. چنین بدافزارهایی حتی ممکن است موقعیت تقریبی کاربر را نیز مشخص کنند.

روش سومی هم وجود دارد که ممکن است داده‌های دستگاه شما را در معرض خطر قرار دهد. آن‌طور که طلال حاج بکری و تامی میسک می‌گویند اپلیکیشن‌هایی همچون دیسکورد، فیسبوک مسنجر، اینستاگرام و توییتر پیش‌نمایش لینک را به‌جای دستگاه فرد فرستنده یا گیرنده، در سرورها خلق می‌کنند. این یعنی پیش‌نمایش اپلیکیشن‌های موردبحث برای کاربران از رمزنگاری سرتاسری (End-to-End Encryption) بهره‌مند نیست و هر کسی که به سرور دسترسی داشته باشد، عملا توانایی خواندن محتوای چت را دارد.

مقاله‌ی مرتبط:

محققان متوجه شدند شماری از اپلیکیشن‌ها پیش‌نمایش لینک را به‌صورت خودکار تولید و دانلود می‌کنند، حتی اگر لینک موردبحث به فایلی حجیم مربوط باشد. برای مثال فیسبوک مسنجر می‌تواند فایل‌هایی با حجم حداکثر ۲۰ مگابایت را بدون تعامل با کاربر دانلود کند. دانلود این حجم از داده برای نمایش یک عکس با متنی کوتاه غیرضروری به‌نظر می‌رسد. ازطرفی دیگر از آن‌جایی که پیش‌نمایش‌ها به‌صورت آنلاین خلق می‌شوند، محتوای درون آن‌ها بدون رمزنگاری‌شدن روی سرور شرکت‌هایی مثل توییتر ذخیره می‌شود. 

محققان در یکی از آزمایش‌هایشان توانستند آدرس‌های IP دستگاه‌های دریافت‌کننده‌ی لینک را به‌دست بیاورند. تمام کاری که محققان انجام دادند، ارسال کردن لینک ازطریق سرویس‌هایی بود که به‌صورت خودکار پیش‌نمایش لینک را دانلود می‌کنند. این محققان هشدار دادند که گاهی اوقات صفحات وب ممکن است کدهای مخرب جاوااسکریپت را درون پیش‌نمایش‌ها اجرا کنند. 

در ادامه می‌توانید ویدئوی طلال حاج بکری و تامی میسک را مشاهده کنید:

شما کاربران تک تایمز چه دیدگاهی دارید؟

بمنظور اطلاع از دیگر خبرها به صفحه اخبار فناوری مراجعه کنید.
منبع خبر

برچسب ها

نوشته های مشابه

بستن