安全专家发现链接预览会泄漏敏感数据/消耗带宽/榨干电池

waffle

稿源：cnBeta

链接预览几乎是主流聊天和即时信息应用中标配的功能，它能预览链接中关联的图像和文本，从而让在线对话更加轻松。但遗憾的是，它们还可能会泄漏我们的敏感数据、消耗我们有限的带宽、耗尽我们的电池，甚至在某些情况下能够暴露原本应该端到端加密的聊天内容。根据本周一发布的研究，目前 Facebook，Instagram，LinkedIn 和 Line 中的信息就存在这样的问题。

当发送者发送了一条包含链接的信息，应用可能会显示该链接随附的文本（通常是标题）和图像，通常看起来会是下面这样的：

为此，应用程序本身（或由应用程序指定的代理）必须要先访问该链接，打开文件，并调查其中的内容。而在这个过程中可能会下载恶意程序。其他形式的恶意行为可能会迫使应用下载太大的文件，以至于导致应用崩溃，耗尽电池或消耗有限的带宽。而且，如果链接指向私人材料（例如，将报税表发布到私人OneDrive或DropBox帐户），则应用服务器可以无限期查看和存储它。

本周一，安全研究人员塔拉尔·哈吉·巴克里（Talal Haj Bakry）和汤米·迈斯克（Tommy Mysk）发现，Facebook Messenger 和 Instagram 在方面的表现比较糟糕。如下图所示，两个应用程序都会下载并复制整个链接文件，即使文件大小为千兆字节也是如此。同样，如果文件是用户希望保密的文件，则可能会引起关注。

即使链接的文件容量高达 2.6 GB，在 Facebook Messenger 和 Instagram 两款应用中发送链接预览之后依然会进行下载。

Haj Bakry 和 Mysk 向Facebook报告了他们的发现，该公司表示这两个应用程序都可以正常工作。 Instagram 的所有者 Facebook 在一封电子邮件中说，其服务器仅下载图像的缩小版本，而不下载原始文件，并且该公司不存储该数据。

但是 Mysk 表示，该视频演示了 Instagram 全部下载了 2.6GB 文件（Ubuntu ISO，文件重命名为ubuntu.png ）。他还指出，大多数其他 Messenger 会剥离 JavaScript，而不是下载并在其服务器上运行。LinkedIn的表现略好。唯一的区别是，它没有复制任何大小的文件，而是仅复制了前50兆字节。

同时，当 Line 应用程序打开加密消息并找到链接时，它似乎会将链接发送到 Line 服务器以生成预览。Haj Bakry 和 Mysk 写道：“我们认为这违反了端到端加密的目的，因为LINE服务器知道通过应用程序发送的所有链接，以及谁与谁共享链接。”

Discord，Google Hangouts，Slack，Twitter和Zoom也会复制文件，但它们将数据量限制在15MB到50MB之间。下图提供了研究中每个应用程序的比较。