เตือน !!! ส่ง Link ใน Application Chat มีความเสี่ยงถูกโจรกรรมข้อมูล

นักวิจัยเปิดเผยความเสี่ยงใหม่ในการส่ง Link ของ Application Chat ยอดนิยม ทำให้ข้อมูล IP Address รั่วไหล รวมถึงแสดง Link ที่ส่งผ่านแชทที่เข้ารหัสแบบ End-to-End และลักลอบดาวน์โหลดข้อมูลโดยไม่จำเป็น เหตุการณ์นี้ส่งผลกระทบกับฝั่งผู้รับเท่านั้น

การแสดงตัวอย่าง Link เป็นคุณสมบัติทั่วไปใน Application Chat ส่วนใหญ่จะเป็นการแสดงภาพตัวอย่างและคำอธิบายสั้น ๆ ของ Link ที่แชร์  

การแสดงตัวอย่าง Link ขึ้นในฝั่งผู้รับเป็นช่องทาง สู่ความเสี่ยงใหม่ ๆ ที่อนุญาตให้ผู้ไม่หวังดีสามารถทราบตำแหน่งโดยประมาณของเหยื่อได้  

สิ่งนี้เกิดขึ้นเนื่องจาก Application Chat เมื่อได้รับข้อความพร้อม Link URL โดยอัตโนมัติเพื่อสร้างตัวอย่างโดยเปิดเผย IP Address ของโทรศัพท์ในคำขอที่ส่งไปยัง Server 

“การใช้ Server ภายนอกเพื่อสร้างการแสดงตัวอย่าง Link ในขณะที่ป้องกันปัญหาการรั่วไหลของ IP Address ทำให้เกิดปัญหาใหม่ ซึ่ง Server ที่ใช้สร้างตัวอย่าง Link อาจจะเก็บสำเนาไว้” นักวิจัยกล่าว  

Application หลายตัว ไม่ว่าจะเป็น Discord, Facebook Messenger, Google Hangouts, Instagram, LINE, LinkedIn, Slack, Twitter และ Zoom ไม่มีการระบุให้ผู้ใช้ทราบว่า ” Server กำลังดาวน์โหลดสิ่งที่พบใน Link 

ถึงแม้ Line จะมี Feature End-to-End Encryption (E2EE) ที่ออกแบบมาเพื่อป้องกันบุคคลที่สามจากการดักจับการสนทนา แต่การที่ใช้ Server ภายนอกนั้นเพื่อสร้าง Link ทำให้ Server ทราบถึงข้อมูลทั้งหมดที่มากับ Link โดยส่งผ่าน Application รวมถึงทราบว่าใครเป็นผู้ส่งและผู้รับ 

คำแนะนำ 

      หลีกเลียงการส่ง Link ที่มีข้อมูลเป็นความลับผ่านช่องทาง Application Chat เพื่อความปลอดภัยในการถูกโจรกรรมข้อมูลจากผู้ไม่หวังดี ในลักษณะ Man-in-the-Middle ได้ 

ที่มา: https://thehackernews.com/2020/10/mobile-messaging-apps.html 

Share