새로운 보고서 보안 연구원 Talal Haj Bakry와 Tommy Mysk는 메시징 앱의 링크 미리보기가 iOS 및 Android의 보안 및 개인 정보 보호 문제로 이어질 수 있다고 밝혔습니다. Bakry와 Mysk는 링크 미리보기를 통해 앱이 IP 주소를 유출하고, 종단 간 암호화된 채팅에서 전송된 링크를 노출하고, 사용자 동의 없이 대용량 파일을 다운로드하고, 개인 데이터를 복사할 수 있음을 발견했습니다.
언제 아이폰 12를 주문할 수 있습니까?
링크 미리 보기는 많은 메시징 앱에서 웹 페이지나 문서와 같은 콘텐츠를 엿볼 수 있도록 합니다. 이 기능을 통해 사용자는 링크를 탭하지 않고도 대화의 나머지 부분과 함께 짧은 요약 및 미리보기 이미지를 볼 수 있습니다.
iMessage 및 WhatsApp과 같은 앱은 발신자가 미리보기를 생성하도록 합니다. 즉, 링크가 악의적인 경우 수신자가 위험으로부터 보호됩니다. 요약 및 미리보기 이미지가 발신자의 기기에서 생성되어 첨부파일로 전송되기 때문입니다. 수신자의 장치는 링크를 열지 않고도 발신자로부터 전송된 대로 미리보기를 표시합니다. TikTok 및 WeChat과 같이 링크 미리보기를 전혀 생성하지 않는 앱도 영향을 받지 않습니다.
앱이 자동으로 백그라운드에서 링크를 열어 미리보기를 생성하기 때문에 수신기가 링크 미리보기를 생성할 때 문제가 발생합니다. 이는 사용자가 링크를 탭하기 전에 발생하여 잠재적으로 악성 콘텐츠에 노출됩니다. Reddit과 같은 앱은 이러한 방식으로 링크를 생성합니다.
예를 들어, 악의적인 행위자는 자신의 서버에 링크를 보낼 수 있습니다. 수신기의 앱이 백그라운드에서 자동으로 링크를 열면 기기의 IP 주소를 서버로 보내 위치를 표시합니다.
이 접근 방식은 링크가 큰 파일을 가리키는 경우에도 문제를 일으킬 수 있으며, 그 결과 앱이 전체 파일을 다운로드하려고 시도하여 배터리 수명이 소모되고 데이터 요금제 한도가 초과될 수 있습니다.
링크 미리보기는 외부 서버에서도 생성할 수 있으며 디스코드, 페이스북 메신저, 구글 행아웃, 인스타그램, 링크드인, 슬랙, 트위터, 줌과 같은 인기 앱이 이만큼 작동합니다. 이 경우 앱은 먼저 외부 서버에 링크를 보내고 미리 보기를 생성하도록 요청한 다음 서버에서 미리 보기를 보낸 사람과 받는 사람 모두에게 다시 보냅니다.
애플워치의 가격
그러나 전송된 링크의 내용이 비공개인 경우 보안에 위협이 될 수 있습니다. 외부 서버를 사용하면 이러한 앱이 잠재적으로 개인 정보의 무단 복사본을 만들고 일정 기간 동안 보관할 수 있습니다.
많은 앱이 다운로드할 링크 콘텐츠의 양에 대한 데이터 제한을 구현했지만 연구원들은 Facebook Messenger와 Instagram이 크기에 관계없이 모든 링크 콘텐츠를 서버에 다운로드하는 데 특히 주목할 만하다는 사실을 발견했습니다. 이 행동에 대해 질문을 받았을 때 Facebook은 이것이 '의도한 대로 작동하는' 것으로 간주한다고 밝혔습니다.
외부 서버에 보관된 사본은 데이터 침해의 대상이 될 수 있으며, 이는 특히 Zoom 및 Slack과 같은 비즈니스 앱 사용자와 민감한 개인 데이터에 대한 링크를 보내는 사용자에게 문제가 될 수 있습니다.
아이폰에서 위젯스미스를 하는 방법
이 연구는 정확히 동일한 기능이 어떻게 다른 방식으로 작동할 수 있는지, 그리고 이러한 차이점이 보안 및 개인 정보 보호에 중대한 영향을 미칠 수 있는지에 대한 감사를 제공합니다. 참조 전체 보고서 자세한 내용은.
태그: 사이버 보안 , 메시지
인기 게시물