Link Previews in Popular Messaging Apps May Lead to Security Vulnerabilities
安全研究人員發現傳訊 app 的連結預覽功能可能會帶來資安風險。傳訊 app 裡面常看到的連結預覽功能,一般有幾種做法:
-
由發訊端載入連結產生預覽圖片與文字,把預覽圖片與文字傳送給收訊端,收訊端可以不用訪問連結就可以得到預覽內容,這種做法較安全,如果是惡意連結,那麼這個機制下收訊端不用因為要產出預覽內容而去訪問那個惡意連結,這樣設計的 app 有 iMessage、WhatsApp、TikTok、Wechat、Telegram。
-
由收訊端載入連結產生預覽圖片與文字,這種設計不安全,如果是惡意連結,那收訊端會因為要得到預覽內容而自動的把連結打開,手機可能因此而被感染,這樣設計的 app 有 Reddit。
-
由 app 自己設立的外部主機去開連結產生預覽圖片與文字,再傳給發訊端與收訊端,這對惡意連結的例子是安全的,但如果連結內容是機密的,傳訊 app 可能會因此意外的存取到機密內容,並且外部主機也有可能有其它的漏洞導致機密外洩。這樣設計的 app 有 Discord、Facebook Messenger、Google Hangouts、Instagram、LinkedIn、Slack、Twitter、Zoom、LINE。