IT業界社群及資訊平台

【雙面刃】WhatsApp 等應用程式連結預覽暗藏資安漏洞!

朋友在通訊 App 分享連結時,若果有 Preview,感覺比一條普通連結實在,可以衡量登陸網頁的必要。不過看似窩心的 Feature,原來潛藏資安漏洞,隨時出賣用戶 IP,甚至破壞 End-to-End Encryption(E2EE)加密原則以及用戶對平台的信任。

網頁預覽顯示的初心,絕對方便用家,故大部分通訊 App 都備有此功能,像 Tiktok 與 WeChat 般不設預覽的 App 僅佔少數,向用戶提供預覽選擇的 Signal 與 Wire 也非主流做法。顯示網頁預覽的運作原理,先要從網頁端下載預覽資訊,可暫存在發訊方或收訊方,又或者在通訊程式 Server 上再回傳到收發雙方。Apple iMessage、Signal、Viber、WhatsApp 採用發訊方生成預覽,此舉假設發訊方核實網頁為可信任,收訊方可從 Preview 判斷登入網頁風險。反觀從收訊方生成預覽,收訊方在判斷網頁風險前,已因生成預覽而主動接觸網頁 Server,曝露了用戶 IP,若 Server 由黑客控制,已對用戶構成危險。採用這個方式的 Reddit Chat 發言人稱已著手修補漏洞。

至於由 Server 生成 Preview 再回傳收發雙方的做法,的確防範用戶曝露 IP,但卻違反了 E2EE 精神,因為 Server 始終有用戶瀏覽網頁記錄,而沒有向用戶明確交代記錄處理守則與程序;到底存放多久?會否用作大數據分析?採用 Server 生成預覽的 Discord、Facebook Messenger、Google Hangouts、Instagram、LINE、LinkedIn、Slack、Twitter 與 Zoom,並沒有向用戶交代從網頁下載內容。此外,研究團隊測試下載預覽內容容量,發現大部分 App 都有 15 至 50 MB 下載內容容量上限,Facebook Messenger 與 Instagram 則似乎不設上限,測試中曾下載 2.6GB 預覽內容,Facebook 發言人稱此安排屬刻意,以提升用戶體驗,但研究員更著重此舉潛在的私隱侵犯問題。強調 E2EE 的 LINE,則在 FAQ 加入「為生成網頁預覽,用戶對話中的連結會同時發送至LINE 伺服器」。

同一研究中,研究團隊發現 JavaScript 惡意程式可經由生成預覽過程入侵伺服器,Instagram 與 LinkedIn Server 就在測試中中招,讓黑客操縱最少 20 秒。

是次研究由 Talal Haj Bakry 與 Tommy Mysk 進行,二人最近在資安界爆紅,因為精準揭露兩個用戶以億作單位的平台漏洞;TikTok 可供黑客操縱帳戶 Post 偽冒影片那次,撞正美國政府追擊 TikTok,傳媒瘋狂轉載,令兩人嶄露鋒芒。緊接二人再揭發 iOS 默許近半百 App 毋須用戶授權,私自入侵用戶 Clipboards,事後 Apple 馬上在 iOS 14 中加入使用 Clipboards 提示,並可以封鎖可疑第三方 App 獲取 Clipboards 資訊選項。

資料來源:https://bit.ly/37Sj51U