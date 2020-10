Komunikatory internetowe nie szanują prywatności użytkowników i bardzo często drenują nadmiernie baterie smartfonów - wynika z badania przeprowadzonego przez ekspertów z branży bezpieczeństwa Talala Haj Bakry'ego i Tommy'ego Myska.

Specjaliści przebadali popularne aplikacje do prowadzenia rozmów w internecie m.in. pod kątem naruszeń prywatności w procesie generowania podglądów przesyłanych linków.

Pod tym względem największe ryzyko dla użytkownika stwarzają aplikacje należące do Facebooka - Messenger i Instagram.

Jak stwierdzili eksperci, programy te pobierają całość nagłówka przesyłanego linku łącznie z dołączonymi do niego obrazkami, co może prowadzić do naruszeń prywatności.

Badanie pokazało, że aplikacje stwarzają również ryzyko dla bezpieczeństwa, gdyż pobierając cały nagłówek mogą pobrać bez interakcji ze strony użytkownika złośliwe oprogramowanie wstrzyknięte przez potencjalnych atakujących w odnośnik. Hakerzy w nagłówku mogą zawrzeć również polecenie pobrania przez urządzenie złośliwych plików z zewnętrznego źródła, co przekłada się na błędy w działaniu oprogramowania, a także nadmierne zużycie baterii w smartfonie. Według badaczy możliwe jest w ten sposób wykradzenie danych z prywatnej chmury służącej do przechowywania dokumentów, kiedy np. w komunikatorze użytkownik zamieszcza link do jednego z plików zawierających wrażliwe informacje na swój temat.

Badacze cyberbezpieczeństwa podkreślają, że użytkownicy Messengera i Instagrama nie mają możliwości samodzielnego sprawdzenia bezpieczeństwa skryptów JavaScript, które obsługują obie te aplikacje. Niesłuszne jest również oczekiwanie od komunikatorów takiego samego poziomu zabezpieczeń, jakie mają dziś wbudowane nowoczesne przeglądarki internetowe.

Nieco lepiej według ekspertów wygląda sytuacja bezpieczeństwa i prywatności użytkowników LinkedIna (Microsoft), który nie pobiera całego nagłówka przesyłanego linku, a jedynie pierwsze 50 MB pliku.

Aplikacja Line, która obiecuje użytkownikom szyfrowaną komunikację i brak dostępu do treści przesyłanych przez komunikator dla kogokolwiek innego niż nadawca i odbiorca, przesyła linki z komunikatora na swój serwer, gdzie generowane są ich podglądy. Jak wskazują eksperci, przeczy to podstawowej funkcji szyfrowania końcowego i sprawia, że przesyłane odnośniki są łatwe do przechwycenia dla każdego.

Również Discord, Google Hangouts, Slack i Twitter oraz Zoom pobierają nagłówki przesyłanych odnośników, jednakże różnią się limitem danych gromadzonych przez te aplikacje, który waha się od objętości 50 MB do 100 MB.

Jedynie Signal, Threema oraz chińskie aplikacje TikTok i WeChat oferują użytkownikom możliwość rezygnacji z generowania podglądu przesyłanych linków, co znacznie zmniejsza ryzyko dla ich prywatności i bezpieczeństwa. Jak wskazują badacze, wybór takich ustawień to najlepsza decyzja dla osób chcących maksymalnie chronić swoją prywatność.