当我们想要发送仅包含链接的消息时 - 例如来自 Stack Exchange 网络的问题 - WhatsApp 会显示来自网站的信息,如下所示:
这是否会泄露有关发送内容、发送者和发送给谁的信息?
我们可以假设 WhatsApp 使用内部浏览器并且不向自身发送信息。但是,由于用户在共享之前已经看过那里,因此上面似乎已经存在泄漏。
Google 和 WhatsApp 联合攻击会怎样?WhatsApp 会看到发送的消息,而 Google 会看到已查找的站点。
那么,以上是否泄露信息?
WhatsApp 在链接消息上的链接预览是否会泄露信息?
信息安全
数据泄露
whatsapp
敏感数据暴露
信息公开
2021-08-24 07:36:18
1个回答
WhatsApp 客户端向站点发送者类型发出 httpGET请求,以获取在预览中显示的站点元属性。
<meta property="og:title" content="Information Security Stack Exchange">
<meta property="og:description" content="Q&A by infosec enthusiasts">
<meta property="og:image" content="https://cdn.sstatic.net/Sites/security/Img/logo.svg?v=f9d04c44487b">
<meta property="og:url" content="https://security.stackexchange.com">
http 请求不受 E2EE 保护,因此它可以被 MITM 嗅探。如果请求的站点没有使用https,查询字符串和站点的元内容也可以被观察者看到。如果发件人忘记在 URL 的查询字符串和查询字符串之后的下一个单词之间放置空格,则该单词作为查询字符串的一部分被泄露。
https://security.stackexchange.com/questions/241076/does-whatsapps-link-preview-on-the-link-messages-leaks-informationSECRET ... text ... message ... contents ...
将SECRET被查询到请求的站点。只要键入的单词与 URL 的正则表达式匹配,WhatApp 客户端也会尝试查询不存在的站点。至于被请求的站点,它不知道是谁在请求它,也不知道 URL 被发送给谁。
如果 Bob 欺骗 Alice 输入他控制的 Web 服务的 URL,他将能够获知她的 IP 地址,也可能知道她的位置。为了解决这个问题,Signal 使用代理服务器进行链接预览。
其它你可能感兴趣的问题