アップルニュース

人気のあるメッセージングアプリのリンクプレビューはセキュリティの脆弱性につながる可能性があります

2020年10月26日月曜日午前9時57分PDTby Hartley Charlton

新しい 報告 セキュリティ研究者のTalalHajBakryとTommyMyskは、メッセージングアプリのリンクプレビューがiOSとAndroidのセキュリティとプライバシーの問題につながる可能性があることを明らかにしました。リンクのプレビューを通じて、BakryとMyskは、アプリがIPアドレスを漏洩し、エンドツーエンドの暗号化チャットで送信されたリンクを公開し、ユーザーの同意なしに大きなファイルをダウンロードし、個人データをコピーする可能性があることを発見しました。



リンクプレビューサンプル信号

iPhoneでリマインダーを使用する方法

リンクプレビューでは、多くのメッセージングアプリのWebページやドキュメントなどのコンテンツを確認できます。この機能を使用すると、ユーザーはリンクをタップしなくても、会話の残りの部分とインラインで短い要約とプレビュー画像を表示できます。





iMessageやWhatsAppなどのアプリは、送信者がプレビューを生成することを保証します。つまり、リンクが悪意のある場合、受信者はリスクから保護されます。これは、概要とプレビュー画像が送信者のデバイスで作成され、添付ファイルとして送信されるためです。受信者のデバイスは、リンクを開かなくても送信者から送信されたプレビューを表示します。 TikTokやWeChatなど、リンクプレビューをまったく生成しないアプリも影響を受けません。

この問題は、アプリがバックグラウンドでリンクを自動的に開いてプレビューを作成するため、レシーバーがリンクプレビューを生成するときに発生します。これは、ユーザーがリンクをタップする前に発生し、悪意のあるコンテンツにさらされる可能性があります。 Redditなどのアプリはこの方法でリンクを生成します。

たとえば、悪意のある攻撃者が自分のサーバーにリンクを送信する可能性があります。受信者のアプリがバックグラウンドでリンクを自動的に開くと、デバイスのIPアドレスがサーバーに送信され、サーバーの場所が明らかになります。

このアプローチは、リンクが大きなファイルを指している場合にも問題を引き起こす可能性があります。その場合、アプリはファイル全体をダウンロードしようとし、バッテリーの寿命を縮め、データプランの制限を大量に消費する可能性があります。

リンクプレビューは外部サーバーで生成することもできます。これは、Discord、Facebook Messenger、Google Hangouts、Instagram、LinkedIn、Slack、Twitter、Zoomなどの人気のあるアプリの数です。この場合、アプリは最初にリンクを外部サーバーに送信し、プレビューを生成するように要求します。次に、サーバーはプレビューを送信者と受信者の両方に送り返します。

Macでwifiネットワークを削除する方法

ただし、送信されたリンクのコンテンツが非公開の場合、これはセキュリティ上の脅威となる可能性があります。外部サーバーを使用すると、これらのアプリが個人情報の不正なコピーを作成し、それを一定期間保持する可能性があります。

多くのアプリは、ダウンロードするリンクコンテンツの量にデータ制限を実装していましたが、研究者は、Facebook MessengerとInstagramが、サイズに関係なく、リンクのコンテンツ全体をサーバーにダウンロードすることで特に注目に値することを発見しました。この振る舞いについて質問されたとき、Facebookはこれが「意図したとおりに機能している」と考えていると伝えられています。

外部サーバーに保存されたコピーは、データ侵害の対象となる可能性があります。これは、ZoomやSlackなどのビジネスアプリのユーザーや、機密性の高い個人データへのリンクを送信するユーザーにとって特に懸念される場合があります。

iphone11proの使い方

この調査では、まったく同じ機能がさまざまな方法でどのように機能するか、およびこれらの違いがセキュリティとプライバシーにどのように大きな影響を与えるかについての理解が得られます。を参照してください 完全なレポート 詳細については。

タグ:サイバーセキュリティ、 メッセージ