Náhledy odkazů ve zprávách představují v případě některých aplikací bezpečnostní riziko. S těmito závěry přichází nový report dvojice expertů na kybernetickou bezpečnost, Talala Haje Bakryho a Tommyho Myska. Hackeři se tak mohou dostat k osobním datům uživatelů, a to zcela nepozorovaně.
Mohlo by vás zajímat
Fotogalerie
Bakry a Mysk zkoumali, jakým způsobem generují oblíbené chatovací aplikace náhledy k zasílaným odkazům na webové stránky či dokumenty. Během svého bádání došli ke zjištění, že k jejich generování dochází vesměs třemi způsoby. Prvním a nejbezpečnějším způsobem je ten, kdy aplikace automaticky vygeneruje náhled odkazu už na straně odesílatele zprávy a aplikace na straně jejího příjemce tento náhled pouze zobrazí v podobě, v jaké byl předtím odeslán. Tato cesta generování náhledů se ukázala jako bezpečná a na jejím principu fungují například aplikace iMessage či WhatsApp. Oba další způsoby však předstaují nebezpečí, a to jak pro uživatele iOS, tak i Androidu.
Druhým způsobem, jakým chatovací aplikace generují nadhledy, je totiž generování na straně příjemce zprávy. V takovém případě daná aplikace, aby mohla uživateli náhled např. pro webovou stránku zobrazit, musí nejprve sama stáhnout obsah této stránky. Avšak v případě, že daná stránka obsahuje nebezpečný software, může být na pozadí do zařízení stáhnut také a uživatelův smartphone či tablet je tak rázem infikován, aniž by vůbec na zaslaný odkaz klikl. Hackeři tak mohou do zařízení dostat libovolný malware a pomocí něj například ukrást uživatelova osobní data či infikovaný odkaz dále šířit mezi jeho kontakty. Problémy však může toto řešení způsobit i v případě stránek či souborů, které jsou bezpečné. Při vytváření náhledu totiž není nijak zohledňována např. nadměrná velikost stahovaného obsahu, může tak docházet k nežádoucímu čerpání mobilních dat a společně s tím i k vybíjení baterie. Z nejznámějších aplikací takto dle Bakryho a Myska funguje platforma Reddit.
Mohlo by vás zajímat
Nakonec třetím způsobem, kterého využívá například Messenger od Facebooku, Instagram, Twitter či Zoom, ale který je rovněž pro uživatele rizikový, je generování náhledu na straně vlastního serveru aplikace. Tato cesta sice na první pohled může vypadat bezpečně, neboť příjemce stejně jako v prvním případě obdrží náhled odkazu v již vygenerované podobě. Dochází při ní však ke zpracování zasílaného obsahu třetí stranou a uživatelova citlivá data jsou tím vystavena riziku potenciálního zneužití.
Vzhledem k faktu, že byly výsledky reportu čerstvě zveřejněny, zůstává zatím otázkou, jak se jednotlivé společnosti k rizikům generování náhledů postaví. Zejména druhý případ však představuje zásadní riziko pro miliony majitelů iOS a Android zařízení a jeho ošetření, ať už ze strany samotných chatovacích aplikací či operačních systémů, je bezesporu na místě.
Tak MOHOU a nebo KRADOU 🤷♂️🤷♂️