Nová zpráva od výzkumných pracovníků v oblasti bezpečnosti Talal Haj Bakry a Tommy Mysk odhalila, že náhledy odkazů v aplikacích pro zasílání zpráv mohou vést k problémům se zabezpečením a ochranou soukromí v systémech iOS a Android.



Bakry a Mysk zjistili, že prostřednictvím náhledů odkazů mohou unikat IP adresy, stahovat velké soubory bez souhlasu uživatelů a kopírovat soukromá data. Náhledy odkazů nabízejí pohled na obsah, jako jsou webové stránky nebo dokumenty, v mnoha aplikacích pro zasílání zpráv. Tato funkce umožňuje uživatelům zobrazit krátké shrnutí a náhled obrázku, aniž by museli klepnout na odkaz. Aplikace jako iMessage a WhatsApp zajišťují, že odesílatel vygeneruje náhled, což znamená, že příjemce je chráněn před rizikem, pokud je odkaz škodlivý. Důvodem je, že souhrnný a náhledový obrázek se vytvoří na zařízení odesílatele a odešlou se jako příloha. Zařízení příjemce zobrazí náhled, jak byl přenesen od odesílatele, aniž by bylo nutné otevřít odkaz.

Aplikace, které vůbec negenerují náhled odkazu, jako jsou TikTok a WeChat, nejsou také ovlivněny. Problém nastane, když příjemce vygeneruje náhled odkazu, protože aplikace automaticky otevře odkaz na pozadí a vytvoří náhled. K tomu dochází dříve, než uživatelé klepnou na odkaz a potenciálně je vystaví škodlivému obsahu. Aplikace jako Reddit generují odkazy tímto způsobem. Například hacker by mohl poslat odkaz na svůj vlastní server. Když aplikace automaticky otevře odkaz na pozadí, odešle IP adresu zařízení na server a odhalí jeho polohu. Tento přístup může také způsobit problémy, pokud odkaz odkazuje na velký soubor, načež se aplikace může pokusit stáhnout celý soubor, což může vybíjet baterii. Výzkum nabízí zhodnocení toho, jak může stejná přesná funkce fungovat různými způsoby a jak mohou tyto rozdíly mít významný dopad na bezpečnost a soukromí. Další informace najdete v úplném přehledu.