Предварительный просмотр содержимого ссылки — удобная и полезная функция, позволяющая узнать подробности без необходимости перехода на полноценный сайт. Выяснилось, что эта, казалось бы, безобидная фишка — огромная дыра в безопасности, которой могут воспользоваться злоумышленники.
Просмотр содержимого ссылки в некоторых приложениях оказался небезопасен. Сообщается, что это актуально как для iOS, так и для Android. Суть технологии проста: пользователь отправляет ссылку, которую другой человек открывает на смартфоне через одно из популярных приложений. Вот только некоторые из них безопасны, а другие могут нести потенциальную опасность конфиденциальным данным.
Например, iMessage и WhatsApp менее уязвимы, так как предпросмотр ссылки создаётся ещё на устройстве отправителя, в то время как Reddit и некоторые другие сервисы создают превью прямо на устройстве получателя. Это значит, что злоумышленник может отправить вредоносную ссылку, способную собирать данные, включая IP-адрес и местоположение.
Всё куда хуже в Discord, Messenger, Instagram, Twitter и ряде других программ, которые генерируют предварительную версию ссылки на удалённом сервере, а не на устройствах отправителя и получателя. Это значит, что все данные будут незашифрованными, а любой, у кого есть доступ к этим серверам, может просматривать содержимое чата.
С помощью обнаруженной уязвимости исследователи смогли получить IP-адреса другого человека, просто отправив ему ссылку через мессенджер. Кроме того, они уверяют, что в некоторых случаях веб-страницы могут даже запускать вредоносный код.