× Security
メッセージアプリやチャットアプリの多くは、会話をスムーズにするために、貼り付けたURLのページが含む文章や画像を一部だけ表示させる「リンクプレビュー」という機能を搭載しています。しかし、このリンクプレビューがスマートフォンのバッテリーを浪費させたり、アプリをクラッシュさせたり、マルウェアに感染したりする危険性を上げていると指摘されています。Link Previews: How a Simple Feature Can Have Privacy and Security Risks | Myskhttps://www.mysk.blog/2020/10/25/link-previews/Study shows which messengers leak your data, drain your battery, and more | Ars Technicahttps://arstechnica.com/information-technology/2020/10/study-shows-which-messengers-leak-your-data-drain-your-battery-and-more/リンクプレビューは、以下のように、ユーザーが言及したい記事のURLをアプリ内で貼り付けた時に、URLのページ内に含まれるページタイトルや画像が自動的に表示される機能を指します。
Such link previews make online conversations easier, but in a new survey, link previews in apps such as Facebook Messenger, Instagram, Linkedin, and LINE can expose users to security danger.It was shown.In order for the link preview to be realized, it is necessary to access the URL page pasted by the app, open the file, and investigate the contents.However, in the process of this survey, there is a danger that malware is downloaded, huge files are downloaded, apps are crashed, batteries and limited bandwidth are consumed.
App developers Talal Hajbakry and Tommy Mysk are 2 on Facebook Messenger and Instagram..6GBの巨大ファイルを送信した時の様子は、以下のムービーから確認できます。これにより、アプリは多くのバッテリーと帯域幅を消費することになりました。また、ファイルはFacebook Messengerのサーバーに保存されることになるので、ファイルが個人的な内容だった場合、プライバシーの面から問題があります。Link Previews: Instagram servers download any link sent in Direct Messages even if it's 2.6 GB - YouTube赤枠で囲った部分がリンクプレビューですが、ファイルが巨大であるため、画像部分が黒塗りで表示されています。
It was confirmed how the app is processing the file ...
Each server has 2 or more servers 2.He said he had downloaded a 6GB file.Multiple servers takes about 1 hour, a total of 24.It has been confirmed that 7GB has been downloaded.
またJavaScriptのコードが含まれる場合、リンクプレビューを通じて悪意のあるコードが読み込まれてしまう可能性もあります。一般的なブラウザであればセキュリティ保護機能が備わっていますが、Facebook MessengerやInstagramといったアプリに同様の保護機能はありません。以下はJavaScriptをリンクプレビューがどう処理しているのかを実験したところ。Link Previews: How hackers can run any JavaScript code on Instagram servers - YouTubeHajBakry氏とMysk氏が実験の結果をそれぞれのアプリ開発元に連絡したところ、Facebook MessengerやInstagramからは「意図した機能である」という返答を得たとのこと。一方で、LinkedInは最初の50メガバイトだけをコピー・ダウンロードする形で、パフォーマンスを改善させたそうです。またLINEはプレビューを作成するためにリンクをLINEのサーバーに送っていたことも報告されています。「LINEのサーバーはアプリを通じてリンクが何かや、誰が誰とリンクを共有しているかを知っており、これはエンドツーエンドの暗号化の目的を損なうものだと私たちは考えます」とMysk氏は述べています。なお、DiscordやGoogleハングアウト、Slack、Twitter、Zoomなどはファイルをコピーするものの、ファイルサイズを15~50MBに制限していました。以下はチャット・メッセージアプリの特徴をまとめた表。列のラベルに各アプリの名前、行のラベルは左から「エンドツーエンドの暗号化の有無」「プライベート情報の無許可のコピー」「サーバーが巨大ファイルをダウンロードするか」「リンクプレビューによってアプリがクラッシュしたりバッテリーを消費したりするか」「IPの露出」「暗号化されたリンクの流出」「リンクプレビューサーバー上で悪意あるコードが動作する危険性」となっています。なお、一番下の黒塗りの部分は記事作成時点で修正中のアプリとなっているため、修正後に公開される予定とのこと。
"Link preview is generally an excellent function that users benefit, but we have shown in this survey that if you are not carefully considered privacy or security, there will be various problems," said Hajbakry.Mysk said.
この記事のタイトルとURLをコピーする
・関連記事ネット上であなたのプライバシーを守る簡単な6つの改善案 - GIGAZINEネット時代を生き抜く術「ハッキングされないためにできること」まとめ - GIGAZINE悪意あるアプリがほぼすべてのアプリを乗っ取れるAndroidの脆弱性「StrandHogg 2.0」 - GIGAZINEAndroidデバイスに「PNG画像を見るだけでハッキングされてしまう脆弱性」があると判明 - GIGAZINEiPhoneユーザーのジャーナリストを襲った「不可視なハッキング」とは一体どんな手口だったのか? - GIGAZINE
・ Related content
- Tweet
in software, video, security, posted by logq_fa
You Can Read The Machine Translated English Article Here Here Here Here.
![Advantages of "Gravio" that can implement face / person recognition AI with no code [Archive distribution now]](https://website-google-hk.oss-cn-hongkong.aliyuncs.com/drawing/article_results_6/2022/2/25/98ceaf1a66144152b81298720929e8e7.jpeg)