جديد أبلغ عن كشف الباحثان الأمنيان طلال حاج بكري وتومي مسك أن معاينات الارتباط في تطبيقات المراسلة يمكن أن تؤدي إلى مشكلات تتعلق بالأمان والخصوصية على نظامي iOS و Android. من خلال معاينات الروابط ، اكتشف Bakry و Mysk أن التطبيقات يمكنها تسريب عناوين IP ، وكشف الروابط المرسلة في محادثات مشفرة من طرف إلى طرف ، وتنزيل ملفات كبيرة دون موافقة المستخدمين ، ونسخ البيانات الخاصة.
تاريخ إصدار Macbook Pro M1 مقاس 16 بوصة
توفر معاينات الارتباط نظرة خاطفة على محتوى مثل صفحات الويب أو المستندات في العديد من تطبيقات المراسلة. تسمح هذه الميزة للمستخدمين بمشاهدة ملخص قصير ومعاينة الصورة مع بقية المحادثة دون الحاجة إلى النقر على الرابط.
تضمن تطبيقات مثل iMessage و WhatsApp أن يقوم المرسل بإنشاء المعاينة ، مما يعني أن جهاز الاستقبال محمي من المخاطر إذا كان الرابط ضارًا. هذا بسبب إنشاء الملخص وصورة المعاينة على جهاز المرسل وإرسالهما كمرفق. سيعرض جهاز المتلقي المعاينة حيث تم إرسالها من المرسل دون الحاجة إلى فتح الرابط. التطبيقات التي لا تنشئ معاينة رابط على الإطلاق ، مثل TikTok و WeChat ، لن تتأثر أيضًا.
تنشأ المشكلة عندما ينشئ المستلم معاينة الارتباط ، لأن التطبيق سيفتح الرابط تلقائيًا في الخلفية لإنشاء المعاينة. يحدث هذا قبل حتى أن ينقر المستخدمون على الرابط ، مما قد يعرضهم لمحتوى ضار. تنشئ تطبيقات مثل Reddit روابط بهذه الطريقة.
على سبيل المثال ، يمكن لممثل ضار إرسال ارتباط إلى الخادم الخاص به. عندما يفتح تطبيق المتلقي الرابط في الخلفية تلقائيًا ، فإنه سيرسل عنوان IP الخاص بالجهاز إلى الخادم ، ويكشف عن موقعه.
يمكن أن يتسبب هذا النهج أيضًا في حدوث مشكلات إذا كان الرابط يشير إلى ملف كبير ، حيث قد يحاول التطبيق تنزيل الملف بالكامل ، مما يؤدي إلى استنزاف عمر البطارية وحدود خطة بيانات النزيف.
يمكن أيضًا إنشاء معاينات الارتباط على خادم خارجي ، وهذا هو عدد التطبيقات الشائعة مثل Discord و Facebook Messenger و Google Hangouts و Instagram و LinkedIn و Slack و Twitter و Zoom. في هذه الحالة ، سيرسل التطبيق أولاً الرابط إلى خادم خارجي ويطلب منه إنشاء معاينة ، ثم سيرسل الخادم المعاينة مرة أخرى إلى كل من المرسل والمستقبل.
ما يعادل النقر بزر الماوس الأيمن على نظام التشغيل Mac
ومع ذلك ، قد يشكل هذا تهديدًا أمنيًا عندما تكون محتويات الرابط المرسل خاصة. يسمح استخدام خادم خارجي لهذه التطبيقات بإنشاء نسخ غير مصرح بها من المعلومات الخاصة والاحتفاظ بها لفترة من الوقت.
على الرغم من أن العديد من التطبيقات قد نفذت حدًا للبيانات على مقدار أي محتوى رابط لتنزيله ، اكتشف الباحثون أن Facebook Messenger و Instagram كانا ملحوظين بشكل خاص في تنزيل محتويات أي رابط بالكامل على خوادمه ، بغض النظر عن الحجم. عند سؤاله عن هذا السلوك ، ورد أن Facebook قال إنه يعتبر أن هذا 'يعمل على النحو المنشود'.
قد تتعرض النسخ المحفوظة على خوادم خارجية لانتهاكات البيانات ، والتي قد تكون مقلقة بشكل خاص لمستخدمي تطبيقات الأعمال مثل Zoom و Slack ، وأولئك الذين يرسلون روابط إلى بيانات خاصة حساسة.
كيفية دمج التطبيقات على iPhone
يقدم البحث تقديرًا لكيفية عمل نفس الميزة المحددة بطرق مختلفة ، وكيف يمكن أن يكون لهذه الاختلافات تأثير كبير على الأمان والخصوصية. انظر تقرير كامل للمزيد من المعلومات.
العلامات: الأمن السيبراني، رسائل
المشاركات الشعبية