کمیته رکن چهارم – دو محقق امنیتی با انتشار ویدئویی در یوتیوب گفتند که قابلیت پیشنمایش لینک در پیامرسانها ازلحاظ تئوری ممکن است به افشای دادههای کاربران منتهی شود.
تقریبا تمامی اپلیکیشنهای پیامرسان محبوب قابلیت پیشنمایش لینک (Link Preview) را ارائه میدهند. این قابلیت به کاربران امکان میدهد محتوای URL-ها را در زمانی سریع و پیش از بازکردن لینک، مشاهده کنند. طلال حاج بکری و تامی میسک دو محقق امنیتی هستند که میگویند قابلیت پیشنمایش لینک میتواند باعث افشای دادههای کاربران در اپلیکیشنهای سیستمهای عامل اندروید و iOS شود.
وقتی لینک مدنظر خود را درون اپلیکیشنهای پیامرسان نظیر فیسبوک مسنجر (Messenger)، واتساپ و آیمسیج (iMessage) برای طرف مقابل میفرستید، اپلیکیشن بهصورت خودکار، پیشنمایشی از آن لینک تولید میکند که بهطور معمول حاوی عکس و عنوان اصلی و گاهی اوقات متنی کوتاه است. در نگاه اول قابلیت پیشنمایش لینک کاربرد بسیار زیادی دارد، اما بکری و میسک نگرانیهایی دربارهی امنیت این قابلیت دارند.
محققان میگویند: «بیایید قدمی به عقب برگردیم و با خود فکر کنیم که پیشنمایش لینکها چگونه خلق میشود؟ اپلیکیشن چگونه میداند که باید چه چیزهایی را در پیشنمایش نشان دهد؟ اپلیکیشن باید بهنوعی بهصورت خودکار لینک را باز کند تا محتویاتش را بفهمد. آیا فرایند باز شدن لینک توسط اپلیکیشن، امن است؟ اگر لینک مدنظر حاوی بدافزار باشد چه؟ یا اینکه اگر لینک موردبحث به فایلی بسیار حجیم مربوط باشد و شما نخواهید این فایل را دانلود و حجم اینترنت را مصرف کنید، چه اتفاقی میافتد؟».
سه روش برای خلق پیشنمایش لینک وجود دارد که پرخطرترینِ آنها مربوط به اینستاگرام و توییتر است
محققان امنیتی در ادامهی ویدئوی خود میگویند راههای مختلفی برای خلق پیشنمایش لینک وجود دارد و بعضی از این روشها امنتر از روشهای دیگر هستند. برای مثال آیمسیج و واتساپ در همان لحظهای که شما URL برای دیگران میفرستید، محتوای درون آن را استخراج میکنند. این یعنی شما میدانید چه محتوایی درحال بهاشتراکگذاشتهشدن است و طرف مقابلتان پیشنمایشی دریافت میکند که توسط شما خلق شده است.
ردیت و دیگر اپلیکیشنها پیشنمایش لینک را روی دستگاهِ فردِ گیرندهی URL میسازند. در این دسته از اپلیکیشنها بهمحض دریافت لینک، URL در پسزمینه باز و پیشنمایش آن خلق میشود. در این روش، فرد سودجو ممکن است لینکی حاوی بدافزاری که دادههای دستگاه نظیر آدرس IP گوشی را جمعآوری کند برای شما بفرستد. چنین بدافزارهایی حتی ممکن است موقعیت تقریبی کاربر را نیز مشخص کنند.
روش سومی هم وجود دارد که ممکن است دادههای دستگاه شما را در معرض خطر قرار دهد. آنطور که طلال حاج بکری و تامی میسک میگویند اپلیکیشنهایی همچون دیسکورد، فیسبوک مسنجر، اینستاگرام و توییتر پیشنمایش لینک را بهجای دستگاه فرد فرستنده یا گیرنده، در سرورها خلق میکنند. این یعنی پیشنمایش اپلیکیشنهای موردبحث برای کاربران از رمزنگاری سرتاسری (End-to-End Encryption) بهرهمند نیست و هر کسی که به سرور دسترسی داشته باشد، عملا توانایی خواندن محتوای چت را دارد.
محققان متوجه شدند شماری از اپلیکیشنها پیشنمایش لینک را بهصورت خودکار تولید و دانلود میکنند، حتی اگر لینک موردبحث به فایلی حجیم مربوط باشد. برای مثال فیسبوک مسنجر میتواند فایلهایی با حجم حداکثر ۲۰ مگابایت را بدون تعامل با کاربر دانلود کند. دانلود این حجم از داده برای نمایش یک عکس با متنی کوتاه غیرضروری بهنظر میرسد. ازطرفی دیگر از آنجایی که پیشنمایشها بهصورت آنلاین خلق میشوند، محتوای درون آنها بدون رمزنگاریشدن روی سرور شرکتهایی مثل توییتر ذخیره میشود.
محققان در یکی از آزمایشهایشان توانستند آدرسهای IP دستگاههای دریافتکنندهی لینک را بهدست بیاورند. تمام کاری که محققان انجام دادند، ارسال کردن لینک ازطریق سرویسهایی بود که بهصورت خودکار پیشنمایش لینک را دانلود میکنند. این محققان هشدار دادند که گاهی اوقات صفحات وب ممکن است کدهای مخرب جاوااسکریپت را درون پیشنمایشها اجرا کنند.
منبع : زومیت
