Анализ негативного эффекта от формирования мессенджерами эскизов ссылок

Исслeдoвaтeли бeзoпaснoсти изо кoмпaнии Mysk прoaнaлизирoвaли рeaлизaцию функции прeдпрoсмoтрa ссылoк в 18 пoпулярныx мeссeнджeрax. Бoльшинствo мeссeнджeрoв быть oтпрaвкe ссылки aвтoмaтичeски зaгружaют сoдeржимoe, нa кoтoрoe укaзывaeт ссылкa, и вывoдит пoльзoвaтeлю четкий эскиз. В зависимости от мессенджеров созревание эскиза может производиться как нате серверах, обслуживающих мессенджер, так и возьми стороне отправителя или получателя. В ходе исследования выявлено, зачем формирование эскиза на стороне получателя не то — не то отправителя приводит к дополнительному расходу трафика, вплоть накануне исчерпания небезлимитных тарифных планов, а равным образом к возможности формирования вредоносных ссылок с целью атаки на мессенджер и определения IP-адреса получателя либо — либо отправителя сообщения. Формирование эскизов бери стороне сервера также практикуется в LinkedIn, так размер ограничивается начальными 50МБ. Погрузка содержимого на сервер может пробуждать к утечке передаваемых через ссылки конфиденциальных данных (медицинские ежедневник, юридические документы и т.п.) и указанных внутри ссылок кодов доступа (во, приватных ссылок на Dropbox), а тоже обнулению счётчика одноразовых загрузок. За исключением того, Facebook Messenger, Instagram и LinkedIn выполняют в своих серверах JavaScript-код быть формировании эскизов сайтов, что может использоваться для эксплуатации уязвимости в движке, осуществляющем воплощение в жизнь JavaScript, или для совершения вычислений с использованием мощностей серверов мессенджеров (исследователи смогли достигнуть выполнения скрипта в течение 20 секунд и выслать обратный запрос на свой сервер). В мессенджере Line ссылки передавались получай сервер для формирования эскизов даже если в шифрованных сеансах, использующих методы оконечного шифрования, и могли жить(-быть связаны на серверах с IP-адресами отправителей и получателей. Присылка ссылок на серверы для формирования эскизов вдобавок зафиксирована для Discord, Google Hangouts, Slack, Twitter и Zoom, же размер загружаемых данных составляет ото 15 до 50 МБ. Сообщение об одном мессенджере, принимавшем жалость в исследовании, пока не раскрывается, в) такой степени как выявленные уязвимости в нём в (то не устранены. Методы обработки ссылок в мессенджерах: Эскизы отнюдь не формируются, ссылки приводятся как питаться: Signal (если предпросмотр отключён в настройках), Threema, TikTok и WeChat. Чертеж формирует отправитель: iMessage, Signal (буде предпросмотр включён в настройках), Viber и WhatsApp. Композиция генерируется на стороне получателя (надбавка обрабатывает ссылку и загружает связанное содержание ещё до действий пользователя): Reddit (только лишь в чате, при просмотре сообщений и комментариев неважный (=маловажный) применяется) и неназванный мессенджер, проблемы в котором вновь не устранены. Атакующий может пускать в дело данную возможность для определения IP-адресов получателей, как, в свою очередь, даёт возможность нате основе geo-привязки IP-адреса приблизительно просчитать местоположение пользователя. Формирование эскизов получи и распишись стороне клиента также позволяет скрытно от пользователя эксплуатировать уязвимости в браузерном движке и обработчиках разных видов контента. Картина генерируется на серверах, обслуживающих мессенджер: Discord, Facebook Messenger, Google Hangouts, Instagram, LINE, LinkedIn, Slack, Twitter, Zoom и анонимный мессенджер, проблемы в котором ещё безвыгодный устранены. Источник: http://www.opennet.ru/opennews/art.shtml?num=53970