Суть технологии проста: пользователь отправляет ссылку, другой человек открывает на смартфоне через одно из популярных приложений и вообще просмотр содержимого ссылки в некоторых приложениях оказался опасным как на iOS, так и на Android. Однако некоторые приложения в таком случае представляют потенциальную опасность для конфиденциальных данных, сообщает 9to5mac.
Интересно В службе Windows Update нашли "дыру" для запуска вредоносных программ
В чем проблема
Например, iMessage и WhatsApp менее уязвимы, поскольку ссылки создаются еще на устройстве отправителя, в то время, как Reddit и некоторые другие сервисы создают превью прямо на устройстве получателя. Это означает, что злоумышленник может отправить вредоносную ссылку, способную собирать данные, включая IP-адрес и место расположения.
Однако гораздо хуже ситуация оказалась в приложениях Discord, Messenger, Instagram, Twitter и ряде других программ, которые генерируют предварительную версию ссылки на удаленном сервере, а не на устройствах отправителя и получателя. Это означает, что все данные будут незашифрованными, а любой, у кого есть доступ к этим серверам, сможет просматривать содержимое чата.
С помощью обнаруженной уязвимости исследователи смогли получить IP-адрес другого человека, просто отправив ему ссылку через мессенджер. Кроме того, они уверяют, что в некоторых случаях вебстраницы могут даже запускать вредоносный код.
Исследователи тестируют дыру в безопасности популярных мессенджеров, видео: