Kiedy nadawca umieszcza linka w komunikatorze, aplikacja wyświetla jego podgląd w konwersacji, zwykle z nagłówkiem i zdjęciem. Użytkownicy nie poświęcają szczególnej uwagi temu, jak wspomniana funkcja działa. Ot, kolejny dodatek do komunikatorów.
W praktyce okazuje się, że rozwiązanie to naraża użytkowników nawet na wycieki danych.
Spis treści
Podglądy linków bywają szkodliwe
Aby komunikator wyświetlił podgląd danego linka, aplikacja musi go najpierw wyświetlić w swojej bazie, otworzyć, a następnie szybko przetworzyć jego zawartość. Cały proces może narazić użytkowników na cyberataki, włącznie z tym, że komunikator pobierze złośliwe oprogramowanie, czy też zostanie zmuszony do pobrania ogromnego pliku, który doprowadzi do zwieszenia aplikacji, wyczerpania baterii, czy zużycia przepustowości (dotyczy to osób, które mają limitowany internet).
Co więcej, jeśli wysyłamy linka, który zawiera materiały prywatne, np. zeznania podatkowe na koncie OneDrive lub Dropbox, serwer komunikatora może przejrzeć te pliki. I przechowywać w nieskończoność u siebie.
Naukowcy Talal Haj Bakry i Tommy Mysk przeprowadzili odpowiednie testy i okazało się, że pod tym względem najgorzej wypada Facebook Messenger i Instagram.
Jak widać na obrazku na samym dole newsa, zarówno Messenger, jak i Instagram pobierają i kopiują dany plik z linku w całości – nawet jeśli ma on kilka GB. Uwaga! Jeśli wolałbyś zachować dany plik tylko dla siebie i swojego rozmówcy, nie powinieneś przesyłać go na komunikatorze Messenger czy Instagramie.
Facebook jest najgorszy. Inni też nie mają powodu do radości
Badacze zgłosili swoje odkrycia Facebookowi. Co na to firma? Stwierdziła, że obie aplikacje – Messenger i Instagram – działają zgodnie z przeznaczeniem.
Facebook poinformował, że aplikacje pobierają tylko zmniejszone wersje danego obrazu, a nie oryginalny plik. Dodatkowo firma nie przechowuje tych danych.
Mysk wykazał jednak na filmie, że Instagram pobrał cały plik o wadze 2,6 GB. Był to obraz ISO systemu Ubuntu, a plik miał dla zmyłki nazwę ubuntu.png.
LinkedIn nie był o wiele lepszy pod tym kątem. Komunikator działa de facto w ten sam sposób, ale pobiera tylko pierwsze 50 MB danego pliku.
Inny ciekawy wniosek: aplikacja Line zapewnia szyfrowanie end-to-end, co sugeruje, że jest bardzo bezpieczna. Tymczasem w teście okazało się, że Lime otwiera zaszyfrowaną wiadomość i odszukuje link, a następnie przesyła go na swoje serwery, aby wygenerować podgląd. “Wierzymy, że taki sposób działania funkcji jest sprzeczny z celem szyfrowania end-to-end, ponieważ serwery Line wiedzą wszystko o linkach przesyłanych przez aplikację, włącznie z tym kto, komu i co udostępnia” – tłumaczą naukowcy.
Inne aplikacje działają podobnie, choć pobierają różne wielkości plików – od 15 do 50 MB. Wszystko obrazuje tabela:
Są też bezpieczne aplikacje
Co jednak ciekawe, są też aplikacje, które działają bez zarzutu. Dla przykładu, Signal, Threema czy WeChat dają użytkownikom możliwość wyboru, czy chcą otrzymywać podglądy z linków. Jeśli zależy nam na prywatności i bezpieczeństwie, jest to opcja, którą warto wyłączyć.
Badanie pokazuje jednak, że nawet prosta funkcja może narażać użytkownika na utratę bezpieczeństwa i prywatności. I że komunikatory, które z pozoru mają być prywatne, w rzeczywistości takie nie są. A przynajmniej nie wszystkie.
Źródło: Mysk.blog