Novo istraživanje otkrilo ranjivost linkova poslanih u chat komunikaciji

29.10.2020. / 11:17
Autor/ica
Share
Novo istraživanje otkrilo ranjivost linkova poslanih u chat komunikaciji
Novo istraživanje otkrilo ranjivost linkova poslanih u chat komunikaciji
Novo istraživanje otkrilo ranjivost linkova poslanih u chat komunikaciji

Najnovije istraživanje pokazuje da linkovi poslani kroz chat aplikacije na Slacku, Twitter DM-u, Facebook Messengeru, Zoomu i drugima mogu propuštati podatke o lokaciji i dijeliti privatne informacije sa nezavisnim serverima.

Istraživači su otkrili da su pregledi veza u popularnim aplikacijama za chat na iOS-u i Androidu vatrena pitanja sigurnosti i privatnosti. U riziku su Facebook Messenger, LINE, Slack, Twitter Direct Messages, Zoom i mnogi drugi. Prema ovoj analizi, u  slučaju Instagrama i LinkedIna, čak je moguće izvršiti udaljeni kôd na serveru organizacija putem linka.

Pregledi linkova (preview links) standardni su u većini aplikacija za chat i mogu biti vrlo korisni. Kad korisnik/ca pošalje link, on u chatu prikazuje kratki sažetak i sliku pregleda, tako da drugi korisnici/e ne moraju kliknuti vezu da bi vidjeli na što ona upućuje.

Preview links
Preview links

 

Prema neovisnim istraživačima Talalu Haj Bakryju i Tommyju Mysku, ova značajka može propuštati IP adrese, otkrivati veze poslane u šifriranim chatovima u end-to-end enkriptiranoj komunikaciji, te "nepotrebno u pozadini preuzimati gigabajt podatake."

Prema istraživačima, problemi se vraćaju na način generiranja pregleda.

Postoje tri načina za to:

1.      pošiljatelj to može generirati;

2.      primalac ga može generirati;

3.      server ga može generirati.

Posljednja dva su problematična, a najviše zabrinjava server verzija.

"Kako aplikacija zna što treba prikazati u sažetku. Mora nekako automatski otvoriti vezu da bi se znalo što je unutra. Ali je li to sigurno? Što ako veza sadrži zlonamjerni softver? Ili štac ako veza vodi do vrlo velike datoteke koju ne biste željeli da aplikacija preuzme i iskoristi vaše podatke. " – objašnjavaju Bakry i Mysk.

Ako pošiljatelj generira pregled, aplikacija će preuzeti i ono što se nalazi na poveznici, stvoriti sažetak i sliku pregleda web mjesta i to će poslati kao privitak zajedno sa vezom.

"Kada aplikacija na kraju prijema dobije poruku, prikazat će se pregled kakav je dobila od pošiljatelja, a da uopće ne mora otvoriti vezu. Na taj bi način primalac bio zaštićen od rizika ako je veza zlonamjerna." – navodi se u objašnjenju rezultata istraživanja.

Ovakve prakse slijede Signal, iMessage, Viber i WhatsApp, međutim navode da postoje zamjerke za korištenje Vibera.

"Ako pošaljete vezu na veliku datoteku, vaš će telefon automatski pokušati preuzeti cijelu datoteku, čak i ako je velika nekoliko gigabajta. Također je vrijedno spomenuti da, iako su Viber chatovi šifrirani end-to-end komunikaciojm, dodirom na vezu prouzrokovat ćete da aplikacija proslijedi tu vezu na Viber poslužitelje u svrhu zaštite od prevara i personaliziranih oglasa." - primijetili su istraživači.

Ono što se dešava kada aplikacija otvori vezu jeste to da se prvo mora povezati sa serverom do kojeg vodi veza i pitati šta je ono što je u tom linku. Ta naredba se naziva GET zahtjev. Da bi poslužitelj znao gdje vratiti podatke, aplikacija uključuje IP adresu vašeg telefona u zahtjevu GET.

„Ako upotrebljavate aplikaciju koja slijedi ovaj pristup, sve što napadač treba učiniti jest poslati vam vezu na vlastiti server gdje može zabilježiti vašu IP adresu. Vaša će aplikacija sretno otvoriti vezu čak i ako je ne dodirnete, a sada će napadač znati gdje ste.“ – navode istraživači.

Ono što je, takođe zabrinjavajuće jeste činjenica da bi ovakva veza mogla potencijalno voditi do vaših podataka na uređaju koji koristite.

Ono što je još veći problem sa ovakvim tipom upada jeste činjenica da su u vrijeme pandemije mnogo krenuli raditi od kuće pri čemu nemaju nikakve dodatne zaštite na serveru.

Dobra vijest je da neke aplikacije uopće ne generiraju preglede, poput Signala (ako je opcija pregleda veze isključena u postavkama), Threema, TikTok i WeChat.

U slučaju komunikacije sa vašim izvorima informacija, svakako savjetujemo da koristite sigurne aplikacije poput Signala.

Govoreći o pomenutim aplikacijama koje ne generiraju preglede, istraživači navode da je „ovo najsigurniji način za rukovanje poveznicama, jer aplikacija neće učiniti ništa s vezom ako je posebno ne dodirnete".

Ocijenite kvalitet članka