Instagram, Facebook Messenger, Other Chat Apps Can Expose Data via Link Previews: Report


सुरक्षा शोधकर्ता तलाल हज बेरी और टॉमी Mysk ने एक ब्लॉग पोस्ट प्रकाशित किया है जिसमें सुरक्षा जोखिमों का वर्णन किया गया है जो लिंक प्रीव्यू दिखा सकते हैं। लगभग सभी मैसेजिंग ऐप में लिंक प्रीव्यू की पेशकश होती है और इन शोधकर्ताओं ने बताया है कि कैसे इस फीचर को ठीक से हैंडल नहीं किया गया तो यह एक गंभीर प्राइवेसी खामी हो सकती है। उन्होंने विस्तृत रूप से बताया कि इंस्टाग्राम और फेसबुक मैसेंजर में गंभीर खामियां हैं जिन्हें ठीक करने की आवश्यकता है। अपने मामले के अध्ययन में, उन्हें कई पते मिले जैसे आईपी पते लीक करना, एंड-टू-एंड एन्क्रिप्टेड चैट में भेजे गए लिंक को उजागर करना, और पृष्ठभूमि में चुपचाप गीगाबाइट डेटा को अनावश्यक रूप से डाउनलोड करना।

में ब्लॉग पोस्ट, Mysk और Bakry डिटेल लिंक चैट प्रीव्यू जनरेट करने के लिए विभिन्न एप्स का उपयोग कैसे करते हैं। उन्होंने विस्तार से बताया रेडिट टैप करने से पहले ही लिंक को स्वचालित रूप से खोलकर लिंक प्रीव्यू बनाता है। उपयोगकर्ताओं को केवल इस बैकएंड प्रोग्रामिंग को ट्रिगर करने के लिए Reddit पर यह संदेश देखना होगा। यह दृष्टिकोण दुर्भावनापूर्ण हमलावरों को आपके आईपी पते का परिणाम दे सकता है जो अप्रत्यक्ष रूप से आपके स्थान के विवरण की ओर जाता है। रिपोर्ट में कहा गया है कि शोधकर्ताओं द्वारा उनसे संपर्क करने के बाद रेडिट ने पहले ही इस समस्या को ठीक कर दिया है।

ऐप्स पसंद हैं कलह, फेसबुक संदेशवाहक, Google Hangouts, इंस्टाग्राम, लाइन, लिंक्डइन, ढीला, ट्विटर, तथा ज़ूम एक अन्य दृष्टिकोण का उपयोग करें जिसमें पूर्वावलोकन बनाने के लिए बाहरी सर्वर से लिंक भेजना शामिल है। सर्वर प्रेषक और रिसीवर दोनों को पूर्वावलोकन वापस भेजेगा। इस दृष्टिकोण के साथ, सर्वर को प्रीव्यू जेनरेट करने के लिए लिंक में क्या है इसकी एक प्रति बनाने की आवश्यकता होगी, और उस प्रतिलिपि को सर्वर पर सहेजा जा सकता है और बाद में दुरुपयोग किया जा सकता है।

यह दृष्टिकोण उनके सर्वर में एक निजी चैट में साझा किए गए लिंक भेजकर अपने उपयोगकर्ताओं की गोपनीयता का उल्लंघन कर सकता है। इन लिंक में केवल प्राप्तकर्ता के लिए निजी जानकारी हो सकती है। यह बिल, अनुबंध, मेडिकल रिकॉर्ड या कुछ भी हो सकता है जो गोपनीय हो सकता है। लाइन एप्लिकेशन को सर्वरों के लिए एंड-टू-एंड एनक्रिप्टेड (e2ee) लिंक भेजने के लिए पाया गया था जो कि प्रीव्यू जेनरेट करने के लिए था, e2ee के उद्देश्य को पूरी तरह से हरा दिया।

जबकि कुछ ऐप्स में एकत्रित और संग्रहीत डेटा की सीमाएँ होती हैं, Instagram और Facebook मैसेंजर की कोई सीमाएँ नहीं होती हैं और वे किसी भी चीज़ को आकार में डाउनलोड नहीं कर सकते हैं। शोधकर्ता बताते हैं कि इंस्टाग्राम एक लिंक डाउनलोड करने में सक्षम था जो कि कई फेसबुक सर्वरों पर 2.7GB आकार का था। यह लिंक आठ फेसबुक सर्वरों पर डाउनलोड किया गया था और लगभग 24.7GB डेटा केवल उसी के माध्यम से डाउनलोड किया गया था, जो Instagram पर साझा किया गया था। यह चिंताजनक है कि अधिकांश ऐप में डाउनलोड सीमाएँ हैं। फेसबुक और इंस्टाग्राम दोनों ने अभी तक इन शोधकर्ताओं द्वारा उन्हें भेजे गए नोटिस का जवाब नहीं दिया है।

स्लैक की डाउनलोड सीमा 50 एमबी है, जबकि लिंक्डइन ने इसे 30 एमबी पर कैप किया है। इन सीमाओं के साथ भी, यह गोपनीयता भंग हो सकती है यदि इन सर्वरों को हैक किया जाता है। शोधकर्ताओं का कहना है कि व्हाट्सएप, सिग्नल, आईमैसेज और वाइबर द्वारा एक एग्रीगेटेबल एप्रोच का उपयोग किया जाता है, जहां “ऐप जाएगा और लिंक में क्या डाउनलोड होगा। यह वेबसाइट का एक सारांश और एक प्रीव्यू इमेज बनाएगा और यह इसे भेज देगा।” लिंक के साथ एक अटैचमेंट के रूप में। जब प्राप्त होने वाले एप्लिकेशन को संदेश प्राप्त होता है, तो यह पूर्वावलोकन दिखाएगा क्योंकि इसे प्रेषक से लिंक खोले बिना ही प्राप्त होगा। इस तरह, रिसीवर को जोखिम से बचाया जाएगा। यदि लिंक दुर्भावनापूर्ण है। यह दृष्टिकोण मानता है कि जो भी लिंक भेज रहा है उसे इस पर भरोसा करना चाहिए, क्योंकि यह प्रेषक का ऐप होगा जिसे लिंक खोलना होगा। ” सर्वरों को लिंक भेजने के अधिकांश एप्लिकेशन द्वारा उपयोग किए जाने वाले दृष्टिकोण का उपयोग खतरों के अभिनेताओं द्वारा लिंक पूर्वावलोकन पर संभावित दुर्भावनापूर्ण कोड चलाने के लिए किया जा सकता है। WeChat, Threema, और TikTok लिंक प्रीव्यू उत्पन्न नहीं करते हैं, और यहां तक ​​कि सिग्नल के पास इसे बंद करने का विकल्प है यदि आप चाहें तो इसे बंद कर सकते हैं।





Source link

Leave a Reply