기능 오용의 영리한 조합이지만, 공격자가 경찰, 정보기관 등이 아닌 이상 추가 공격이 필요하기 때문에 보안 영향은 낮다고 평가함. 기술적 정확성을 위해, 이를 "클릭재킹"이라고 부르는 것은 적절하지 않다고 생각함. 클릭재킹은 특정 기술을 의미하며, 보이지 않는 HTML 프레임을 다른 콘텐츠 위에 겹쳐 놓는 것을 말함.
클릭재킹은 사용자가 클릭하려는 요소가 아닌 다른 요소가 클릭 이벤트를 잡는 것을 말함. 공격자는 사용자가 클릭한 것을 감지할 수 있음. OP가 발견한 것은 멋지고, 실제로 클릭재킹이 아닌 다른 시스템에서 링크 표시를 변경하는 방법을 찾음.
사용자가 링크 클릭 시 도메인을 인식하는 데 어려움을 겪고 있으며, 많은 사람들이 이해하지 못하거나 구별할 수 없음. 링크가 추적 가능하고 의심스러워 보이는데도 아무도 문제를 제기하지 않음.
Meta는 메시지 URL과 미리보기 URL이 다를 수 있는 문제를 인정하고 해결책을 마련해야 함. 이는 URL 단축을 풀기 위한 것일 수 있지만, Meta와 WhatsApp이 똑똑한 해결책을 마련할 수 있어야 함.
WhatsApp이나 유니코드 역순 문자가 문제가 아니라 URL 자체가 어렵다는 것이 진짜 문제임. visa.securesite.com과 같은 간단한 URL도 많은 사람들을 속임. 가까운 미래에 좋은 해결책이 나올 것 같지 않음.
Meta가 이 문제를 해결하지 않고 연구자에게 버그 바운티를 지급하지 않은 것에 실망함.
이 공격이 "리버스 엔지니어링"으로 분류된 것이 흥미로움.
RTL은 존재하는 동안 보안 취약점의 큰 원인이었음. RTL을 사용하지 않는 사람들이 위험에 노출되지 않도록 운영 체제에서 RTL을 비활성화하는 설정이 있어야 함.
공격이 매우 멋지고, 쉽게 읽고 이해할 수 있는 글임. WhatsApp 웹 앱에 디버거를 사용했는지, 폰에 적용했는지, 에뮬레이터를 사용했는지에 대한 기본적인 질문이 있음.
흥미로운 아이디어와 취약점을 공유해줘서 감사함. 간결하고 명확한 요약임.
링크와 미리보기가 별도로 전송된다는 것이 확인됨. 사용자가 안전을 위해 링크와 미리보기를 비교해야 하는 UI 디자인은 더 큰 문제임.
Hacker News 의견