Komunikační platformy obsahují zranitelnosti při posílání odkazu

Už jste si možná četli o nejrůznějších sofistikovaných způsobech, jak zneužít něčí zařízení, jak získat citlivá data a podobně. Dost často se používají techniky, které se spoléhají na instalaci aplikací z neznámých zdrojů. Občas se taková aplikace dostane i do oficiálního obchodu, ale zde velmi rychle zasahují správci jako Apple a Google. Tým expertů objevil zranitelnost u větší míry komunikačních aplikací.

Náhled jako cesta k zneužití

Při posílání odkazu přes komunikační platformy se většinou vygeneruje náhled a jednoduché shrnutí obsahu stránky. Vidíte tak mnohdy náhledový obrázek, nadpis, případně další doplňující text. Zde jsou v podstatě dvě metody, jak jsou tyto náhledy generovány.

Některé aplikace generují náhled přímo na zařízení, takže nedochází k odesílání dat. Druhý typ se spoléhá na generování náhledu na dedikovaných serverech. Obě řešení mají bezpečnostní výhody. Například uživatel díky náhledu nemusí kliknout na odkaz, což by ho teoreticky mohlo ohrozit.

Bezpečnostní experti Talal Haj Bakry a Tommy Mysk se zaměřili na tyto náhledy a našli několik možností, jak je zneužít. V případě aplikací, které si náhled generují přímo na zařízení, ale zde je problém možnosti běhu JavaScript kódu. Týmu expertů se podařilo na těchto aplikacích získat například IP adresu, ale možnosti jsou daleko širší.

link preview example signal 550x978 550x978x

Zdroj: mysk.blog

U druhého typu dokázali donutit servery Facebooku, aby stáhly 2,6GB obrázek a vygenerovaly náhled. Konkrétně servery stáhly soubor dvakrát, takže došlo k přetažení 5,6 GB. Facebook o tomto ví a uvedl, že se jedná o standardní chování pro generování náhledu. Zde je ale problém, že platformy generující obsah na serveru si ponechávají data, neznámo jak dlouho. Navíc mohou obsahovat citlivá data.

Druhý problém, na který narazili experti se týká možnosti běhu JavaScriptu na serverech Facebooku. Konkrétně se jim podařilo skrze upravenou stránku poslat obrázek a dodatečný kód, který pomocí metody OCR na serverech rozpoznal text a odeslal ho zpět. Experti uvádí, že se jedná o lehkou ukázku, kdy hackeři by mohli nechat na serverech spustit jakýkoliv kód. Vzhledem k nešifrované komunikaci by se teoreticky mohli dostat k citlivým údajům.

Problém je tedy na obou stranách a kompletně zabezpečená komunikace (pomocí end-to-end) nemusí stačit. Generování náhledů webových stránek by mělo tedy projít revizí. Tyto komplikace jde najít u aplikací jako Instagram, Messenger, Zoom, Twitter, Google Hangouts, LINE, Discord, LinkedIn a Slack, případně další.

Některé aplikace jsou na tom lépe

Experti ve své zprávě uvedli aplikace, které mají generování náhledů vyřešené lepším způsobem. Například platformy Signal, Threema, TikTok a WeChat negenerují v základu náhled vůbec. U aplikací iMessage, Signal, Viber a WhatsApp dochází ke generování na straně odesílatele.

Všechny tyto případné problémy se týkají aplikací pro Android i iOS. Níže je přehledná tabulka, co se podařilo výzkumníkům objevit. Při sledování těchto zranitelností se dá jednoduše konstatovat, že mezi nejbezpečnější aplikace pro komunikaci patří iMessages, Signal, Threema a WhatsApp. Ale jedná se jen o jednu kategorii zranitelností.