江苏龙网

  1. 首页 > 资讯 > 科技 > >

instagram,IOS系统|LinkedIn、Instagram 等应用的链接预览功能可能存在信息泄漏风险( 二 )


如果你使用的应用程序遵循这种方法 , 那么攻击者所要做的就是向你发送指向其自己服务器的链接 , 该服务器可以记录你的IP地址 。即使你没有点击链接 , 你的应用程序也会很高兴地打开链接 , 现在 , 攻击者将知道你的位置 。
第二个漏洞是链接可能指向大型视频或存档文件 。
研究人员警告说:
“有漏洞的应用程序可能会尝试下载整个文件 , 即使文件大小为千兆字节 , 也可能会耗尽手机的电池和流量 。”
服务器生成的链接
最后 , 在第三种方法中 , 应用程序将链接发送到外部服务器 , 并要求它生成预览 , 然后服务器会将预览发送回发送方和接收方 。
据研究人员称 , 尽管这避免了在生成接收方的情况中发现IP地址泄漏的漏洞 , 但它可能会将信息暴漏给第三方 , 并且如果链接指向使用JavaScript的恶意网站 , 则可以允许代码执行 。
至于数据公开 , 服务器需要对链接中的内容进行复制(或者至少是部分复制) , 以生成预览 。
假设你要向某人发送一个私人Dropbox链接 , 并且你不希望其他人看到其中的内容 。那漏洞就变成了服务器是下载整个文件 , 还是仅下载少量文件来显示预览?如果下载了整个文件 , 服务器是否保留一份副本 , 如果是 , 会保留多久 。这些副本是安全存储 , 还是只有运行服务器的人员可以访问这些副本?
Dropbox(多宝箱)成立于2007年 , 提供免费和收费服务 , 在不同操作系统下有客户端软件 , 并且有网页客户端 , 能够将存储在本地的文件自动同步到云端服务器保存 。
许多应用程序都使用这种方法来预览链接 , 但研究人员表示 , 在测试中 , 服务器下载的数据量差异很大 , 主要有:
Discord:最多下载15 MB的任何类型的文件 。
Facebook Messenger:下载全部文件(如果是图片或视频) , 甚至文件大小为千兆字节 。
Google Hangouts:最多下载20 MB的任何类型的文件 。
Instagram:就像Facebook Messenger一样 , 但不限于任何文件 。无论大小 , 服务器都会下载任何内容 。
LINE:最多下载20 MB的任何类型的文件 。
LinkedIn:最多下载50 MB的任何类型的文件 。
Slack:最多下载50 MB的任何类型的文件 。
Twitter:最多下载25 MB的任何类型的文件 。
Zoom:最多下载30 MB的任何类型的文件 。
研究人员指出:
“尽管我们测试的大多数应用服务器都对下载数据的大小设置了限制 , 但即使是15mb的限制也涵盖了大多数通常会通过链接共享的文件(大多数图片和文档的大小不会超过几个MB) 。因此 , 如果这些服务器确实保留副本 , 那么一旦这些服务器发生数据泄漏 , 那将是一场隐私噩梦 。”
根据Bakry和Mysk的说法 , 该漏洞是LINE用户特别关注的漏洞 , 因为LINE声称具有端到端加密功能 , 只有发送者和接收者才能读取消息 。
研究人员表示:
“当LINE应用程序打开一条加密信息并找到一条链接时 , 它会将该链接发送到LINE服务器 , 以生成预览 。这违背了端到端加密的目的 , 因为线路服务器知道所有通过该应用发送的链接 , 以及谁在分享哪些链接给谁 。基本上 , 如果你正在构建一个端到端的加密应用程序 , 请不要遵循“服务器生成”的方法 。”
在研究人员向LINE安全团队发送报告后 , 该公司更新了常见漏洞解答 , 其中包括披露他们使用外部服务器进行预览链接 , 以及有关如何禁用它们的信息 。
测试中仅有Facebook Messenger及其相关应用程序Instagram Direct Messages对下载多少数据以生成链接预览没有任何限制 。不过Facebook回应了研究人员的担忧 , 认为该功能可以按预期运行 , 但未确认将其保留多长时间 , Twitter也做出了同样的回应 。
Facebook公司发言人告诉Threatpost:
“正如我们在几周前向研究人员解释的那样 , 这些不是安全漏洞 。他们所描述的行为是我们如何在Messenger上显示链接的预览或人们如何在Instagram上共享链接 , 而我们不存储该数据 。这符合我们的数据政策和服务条款 。”


推荐阅读


上一篇:微信|CRM对接企业微信日程快速实现提醒功能

下一篇:华为手机,5G手机|华为史上最强Mate诞生!66W超级快充+大容量电池