Эксперты по кибербезопасности Талал Хадж Бакри и Томми Миск рассказали об угрозах, связанных с предварительным просмотром ссылок, — функции, которую можно найти практически в любом современном мессенджере. По словам специалистов, такие превью удобны: они показывают заголовок, изображение-миниатюру страницы или файла и его краткое описание, что позволяет сразу получить представление о содержании ссылки.
Вместе с этим функция предпросмотра несет в себе определенные риски для безопасности и конфиденциальности. Когда отправитель прикрепляет к сообщению ссылку, эти приложения сами переходят по ней, открывают файл и изучают его содержимое для создания превью, что делает пользователя уязвимым для атак.
Например, злоумышленник, отправив ссылку на подконтрольный ему сервер, сможет раскрыть IP-адрес и местоположение жертвы или заставить мессенджер скачать огромный объем данных, что вызовет в приложении сбой или очень быстро разрядит аккумулятор смартфона.
Хуже всего, выяснили эксперты, дела обстоят в Facebook (запрещена в РФ) и Instagram (запрещена в РФ). Коммуникация в этих приложениях не защищена сквозным шифрованием, а находящийся по ссылке файл загружается целиком — даже если он "весит" несколько гигабайт.
Большие опасения вызывает и то, что документ также копируется. Если ссылка ведет на конфиденциальный файл (например, медкарту, счет или налоговую декларацию в Dropbox или на "Диске" Google), предназначенный только для получателя, серверы Facebook и Instagram смогут его хранить как угодно долго. Кроме того, оба мессенджера запускают любой содержащийся по ссылке JavaScript-код, который может оказаться вредоносным.
Чуть лучше показал себя LinkedIn. Правда, его единственное отличие в том, что мессенджер сервиса копирует файлы не любого размера, а только первые 50 мегабайт.
Мессенджер Line, заявляемый как защищенный, отправляет ссылки для генерации превью на собственные серверы. По словам Бакри и Миска, это противоречит самой идее сквозного шифрования, поскольку "серверы Line знают все о содержимом ссылок, кто ими делится и с кем".
Discord, Google Hangouts, Slack, Twitter и Zoom также копируют файлы, но объем скачиваемых данных ограничен 15–50 мегабайтами. Кроме того, в них переписка не защищена сквозным шифрованием.
Лучшими с точки зрения безопасности оказались Signal, Threema, TikTok и WeChat, которые дают возможность отключить функцию предварительного просмотра ссылок. WhatsApp и "Сообщения" (iMessage) на устройствах Apple также обеспечивают надежное шифрование и не создают копий файлов.