Эксперты пояснили, что, когда пользователь отправляет ссылку через большинство приложений, они помогают предварительно просмотреть ее, будь то новостная статья, документ Word или PDF, гифка.
Программисты Томми Миск и Талал Хадж Бакри рассказали, что популярные мессенджеры могут представлять опасность из-за простой функции, встроенной практически в каждое приложение.
Предварительный просмотр ссылок в мессенджерах, или превью, может стать причиной слива персональных данных, быстрого разряда батареи или высокого расхода трафика, пишет Миск в своем блоге.
Эксперты пояснили, что, когда пользователь отправляет ссылку через большинство приложений, они помогают предварительно просмотреть ее, будь то новостная статья, документ Word или PDF, гифка.
Это может привести к раскрытию IP-адресов пользователя, раскрытию отправленных через зашифрованные чаты ссылок, и даже незаметной загрузке гигабайтов данных в фоновом режиме.
Ссылки в чатах могут содержать личную информацию, предназначенную только для получателей. Это могут быть счета, контракты, медицинские записи или что-нибудь конфиденциальное. Приложения могут нарушать конфиденциальность своих пользователей, отправляя ссылки, опубликованные в частном чате, на свои серверы для предварительного просмотра, — отметили эксперты.
При отправке гиперссылки в Facebook Messenger, WhatsApp или iMessage приложение создает превью, состоящее из картинки, заголовка и небольшого фрагмента текста. Миск и Бакри предлагают пользователям представить, как именно создается такое превью.
Откуда приложение знает, что показать в качестве предварительного просмотра? Значит, оно каким-то образом автоматически открывает ссылку, чтобы узнать, что внутри. Но безопасно ли это? А что, если в этой ссылке спрятан вирус? Или ссылка ведет на огромный файл, который сервис начнет скачивать и израсходует весь ваш месячный трафик?, — задаются вопросами исследователи.
Миск и Бакри сообщили о том, что превью ссылок создаются разными способами, и некоторые из них являются более защищенными и надежными, чем другие.
Согласно выводам экспертов, меньше всего защищены пользователи Facebook и Instagram, так как эти приложения загружают файлы любого объема, а также запускают любые JavaScript-коды, которые могут быть написаны злоумышленниками. Как отметил Миск, программисты сообщили о проблеме в Facebook, однако представители соцсети заявили, что все работает так, «как было задумано».
Среди наиболее безопасных приложений эксперты выделили TikTok, WeChat, Signal и Threema, так как настройки этих соцсетей позволяют пользователю отключать функцию просмотра ссылок. Кроме того, относительно безопасными специалисты также признали WhatsApp и iMessage.