توییت
محققان امنیت سایبری در مورد خطرات امنیتی جدید امکان پیش نمایش پیوند (link preview) در برنامه های پیام رسان معروف که باعث نشت آدرس IP و لینک های ارسالی از طریق چت های رمزگذاری شده end to end و همچنین دانلود غیرضروری داده های حجیم در سرور پیامرسانها، هشدار دادند.
این محققان گفتهاند که پیوندهای به اشتراک گذاشته شده در چتها ممکن است حاوی اطلاعات خصوصی باشد که فقط برای دریافت کننده است. این اطلاعات می تواند شامل لیست قبض ها ، قراردادها ، سوابق پزشکی یا هر چیز محرمانه تری باشد.
در این میان برنامه هایی که برای تولید پیش نمایش پیوندها به سرورهای خود متکی هستند ممکن است با ارسال پیوندهای به اشتراک گذاشته شده در یک چت خصوصی به سرورهایشان ، حریم خصوصی کاربران آنها را نقض کنند."
چگونگی ایجاد پیش نمایش پیوند در سمت فرستنده / گیرنده
پیش نمایش پیوند یک ویژگی مشترک در اکثر برنامه های چت است که نمایش پیش نمایش بصری و شرحی مختصر از لینک به اشتراک گذاشته شده را به کاربر نمایش میدهد.
برنامه هایی مانند Signal و Wire این امکان را به کاربران می دهند که پیش نمایش پیوند را روشن یا خاموش کنند و چند مورد دیگر مانند Threema ، TikTok و WeChat به هیچ وجه از لینکهای ارسالی پیش نمایش پیوند ایجاد نمی کنند.
برنامه هایی که پیش نمایش ها را تولید می کنند این کار را یا در سمت فرستنده لینک یا در سمت گیرنده پیوند انجام می دهند و یا از یک سرور خارجی استفاده می کنند که سپس تولید پیش نمایش اطلاعات را به فرستنده و گیرنده بازمیگرداند و این میتواند منجربه افشای اطلاعات طرفین شود.
در جدول زیر میتوانید نتایج بررسی چند برنامه معروف دارای این آسیبپذیری را مشاهده نمایید:
این محققان گفتهاند که پیوندهای به اشتراک گذاشته شده در چتها ممکن است حاوی اطلاعات خصوصی باشد که فقط برای دریافت کننده است. این اطلاعات می تواند شامل لیست قبض ها ، قراردادها ، سوابق پزشکی یا هر چیز محرمانه تری باشد.
در این میان برنامه هایی که برای تولید پیش نمایش پیوندها به سرورهای خود متکی هستند ممکن است با ارسال پیوندهای به اشتراک گذاشته شده در یک چت خصوصی به سرورهایشان ، حریم خصوصی کاربران آنها را نقض کنند."
چگونگی ایجاد پیش نمایش پیوند در سمت فرستنده / گیرنده
پیش نمایش پیوند یک ویژگی مشترک در اکثر برنامه های چت است که نمایش پیش نمایش بصری و شرحی مختصر از لینک به اشتراک گذاشته شده را به کاربر نمایش میدهد.
برنامه هایی مانند Signal و Wire این امکان را به کاربران می دهند که پیش نمایش پیوند را روشن یا خاموش کنند و چند مورد دیگر مانند Threema ، TikTok و WeChat به هیچ وجه از لینکهای ارسالی پیش نمایش پیوند ایجاد نمی کنند.
برنامه هایی که پیش نمایش ها را تولید می کنند این کار را یا در سمت فرستنده لینک یا در سمت گیرنده پیوند انجام می دهند و یا از یک سرور خارجی استفاده می کنند که سپس تولید پیش نمایش اطلاعات را به فرستنده و گیرنده بازمیگرداند و این میتواند منجربه افشای اطلاعات طرفین شود.
در جدول زیر میتوانید نتایج بررسی چند برنامه معروف دارای این آسیبپذیری را مشاهده نمایید: