Должен ли WhatsApp отключить предварительный просмотр URL?
Эта тема будет особенно интересной тем, кто заботится о своей безопасности и конфиденциальности своих данных в интернете.
Стоит сказать, что для большинства пользователей, помимо этих характеристик также важным является удобство использования. Поэтому разработчикам приходится находить компромиссы и сочетать в своих программах все эти свойства.
Как известно, в WhatsApp используется сквозное шифрование. При этом специалисты установили, что при передаче URL-адресов в чате пользователи предоставляют злоумышленникам возможность отслеживать их IP-адреса. Конечно, это весьма сложно и пока что такая возможность есть больше в теории, но она все-таки есть и многих пользователей такая новость взволновала.
Именно поэтому в свое время разработчики WhatsApp внедрили в свою программу предварительный просмотр ссылок по мере их ввода в чате.
Кроме того, была создана целая база собственных URL, которые являются полностью безопасными. При этом используется то же самое сквозное шифрование. Именно поэтому сегодня WhatsApp является одним из самых безопасных мессенджеров на сегодняшний день.
Но в некоторых случаях этот путь (пересылка URL) все-таки может использоваться для того, чтобы узнать некоторые пользовательские данные, в частности, версию ОС Android, а также метаданных.
Об этом сообщил один из известных разработчиков (не из команды WhatsApp) @mulander в своем Twitter. Также на своей странице в соц. сети он поделился с юзерами со всего мира некоторыми данными с Hacker News.
Муландер выложил пост, в котором наглядно продемонстрировал, как кто-то извлекает его данные с помощью пересылки URL.
По словам разработчика, он натолкнулся на это явление, когда работал с GET запросами в WhatsApp. Он сам часто пользуется электронной почтой, ведет блог и, конечно же, общается в мессенджерах, поэтому то, что он обнаружил, сильно его взволновало.
Самое интересное, что другие пользователи из Twitter в комментариях написали, что им удалось воспроизвести такое поведение.
«Информация, которую обрабатывает приложение и которая, соответственно, может быть получена злоумышленниками – это IP-адрес, версия Android и версия WhatsApp. Кроме того, когда человек вводит URL, «злодеи» могут увидеть, что за адрес он отошлет и точное время нажатия каждой клавиши», - сказал нам Муландер.
Все это означает, что когда Вы вводите какой-то URL при общении в WhatsApp, злоумышленники вполне могут получить Ваши секретные данные!
Также этот разработчик добавил, что такая возможность обусловлена тем, что мессенджер просто не имеет возможности предварительно просмотреть ссылку без получения IP-адреса того, кто ее прислал. При этом важно, что запрос на предварительный просмотр выполняется от имени пользователя. В противном случае получалось бы, что разработчики могли бы просматривать содержимое URL.
Возможно, проблема именно в предварительном просмотре ссылок.
В качестве выхода из сложившейся ситуации Муландер предлагает разработчикам WhatsApp установить небольшое «заикание» вводимых GET запросов. Это означает, что вместо посимвольного отображения вводимых ссылок в реальном времени можно было бы немного задерживать этот процесс и отображать лишь отдельные части URL.
Кроме того, что это поможет, пусть и не намного, решить вопрос с конфиденциальностью, такой подход также позволит избежать некоторых других проблем.
В частности при ошибочном введении, к примеру, второго URL или некоторых слов после первого адреса без разделения пробелом информация будет отображаться корректно, то есть пробел будет поставлен автоматически.
Кроме того, Муландер утверждает, что разработчики WhatsApp вообще могут отключить предварительный просмотр, тем самым кардинально решив проблему.
Конечно, это в некоторой степени снизит удобство работы с мессенджером. А это является одной из наиболее привлекательных характеристик данной программы. Поэтому некоторым придется выбирать между удобством использования и конфиденциальностью личных данных.
Интересно, что именно после внедрения сквозного шифрования в WhatsApp этот метод начали использовать многие другие программы и, в частности, мессенджеры. При этом многие такие программы не имеют возможности отключения предварительного просмотра URL, и это кажется настоящим позором. В частности, речь идет о приложении для обмена сообщениями в Facebook (Messenger).
Если бы у пользователей была возможность просто зайти в настройки и отключить предварительный просмотр, проблема была бы решена. По крайней мере, все метаданные точно не попадали бы в руки злоумышленников.
Но так как такой функции нет, и пока что не предвидится, Меландер предлагает несколько способов решить вопрос с конфиденциальностью.
Один из них заключается в полном отказе от ввода ссылок в чате. А второй состоит в создании разработчиками WhatsApp альтернативного приложения для обмена сообщениями, в котором не будет функции предварительного просмотра URL.
Существует приложение для обмена сообщениями Signal. В нем используется точно такой же протокол шифрования, как и в WhatsApp, но предварительного просмотра URL в нем нет, поэтому утечка метаданных исключена. Такой же подход могли бы использовать и сами разработчики WhatsApp.
Муландер в своем Twitter обратился к разработчикам WhatsApp с просьбой обратить серьезное внимание на рассмотренную им проблему. По его словам опытные злоумышленники могут даже соединять определенные метаданные и получать еще больше личной информации.
Команда сайта techcrunch.com обратилась к команде WhatsApp за комментариями по этой теме, но ответа не получила.
Интересно, что некоторые разработчики также весьма негативно отзываются о безопасности данных в WhatsApp.
В частности, в своем Twitter инженер-программист Алек Муффет, который реализовал сквозную криптографию для чатов в Facebook, материнской компании WhatsApp, пренебрежительно высказался о работе этого мессенджера.
Некоторые пользователи уже высказались, что они согласны отказаться от предварительного просмотра ссылок в WhatsApp. Люди говорят, что было бы хорошо внедрить возможность отключения данной функции в настройки, чтобы каждый пользователь мог принимать собственное решение по этому поводу. Это позволит не жертвовать удобством использования мессенджера.
Конечно, на данный момент команда разработчиков WhatsApp, впрочем, как и многие другие подобные команды, стоят перед непростым выбором между безопасностью и удобством. Именно поэтому лучше дать возможность пользователям самим делать выбор.
Впрочем, можно придумать что-то еще, чтобы убрать возможность утечки данных при вводе URL. Но на данный момент информации о подобных разработках нет. А это значит, что многим придется отказаться от удобной функции предварительного просмотра ссылок.
Желательно было бы, чтобы разработчики все-таки старались уделять больше внимания безопасности и конфиденциальности. Это касается не только WhatsApp или Facebook, а отрасли разработки мессенджеров в целом.
Нам остается лишь ждать, чем закончится эта интересная история!
Официальный сайт производителя:
