論文の概要: Private Links, Public Leaks: Consequences of Frictionless User Experience on the Security and Privacy Posture of SMS-Delivered URLs
- arxiv url: http://arxiv.org/abs/2601.09232v1
- Date: Wed, 14 Jan 2026 07:12:10 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-01-15 18:59:20.303209
- Title: Private Links, Public Leaks: Consequences of Frictionless User Experience on the Security and Privacy Posture of SMS-Delivered URLs
- Title(参考訳): プライベートリンク, 公開リーク: SMS配信URLのセキュリティとプライバシ姿勢に関する摩擦のないユーザエクスペリエンスの結果として
- Authors: Muhammad Danish, Enrique Sobrados, Priya Kaushik, Bhupendra Acharya, Muhammad Saad, Abdullah Mueen, Sazzadur Rahaman, Afsah Anwar,
- Abstract要約: Short Message Service(SMS)は本質的に安全ではなく、多くのレポートがメッセージのインターセプションとデータリークを文書化している。
我々は、3300万件以上の電話番号から抽出された322万件以上のSMS配信URLについて調査を行った。
我々は177のサービスに影響を及ぼす701のエンドポイントにおけるPII(Personally Identible Information)の露出を同定し、検証する。
- 参考スコア(独自算出の注目度): 9.817575354431439
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Digital service providers often prioritize a frictionless user experience by adopting technologies that simplify access to their services. One widely used mechanism is the Short Message Service (SMS) to deliver links (URLs) that enable single-click access to online services with little to no resistance. However, SMS is inherently insecure, and numerous reports have documented message interception and data leaks. Thus, attributing excessive trust in such an insecure channel opens avenues for unintended access and exploitation by adversaries. In this paper, we present a comprehensive investigation of the implications of SMS-delivered URLs from the lens of public SMS gateways. We conduct the study on more than 322K unique SMS-delivered URLs extracted from more than 33 million messages across more than 30K phone numbers, revealing critical security and privacy vulnerabilities. We identify and validate critical Personally Identifiable Information (PII) exposure in 701 endpoints affecting 177 services. Our manual investigation of the root cause of the exposure reveals a weak authentication model which hinges upon tokenized bearer links as sufficient authorization proofs, thereby allowing anyone with the URL to access private user information, including social security number, date of birth, bank account number, and credit score. Additionally, we identify 125 services allowing mass enumeration of valid URLs due to low entropy within tokens, thereby cascading the privacy risks beyond the initially compromised users. Furthermore, we identify mismatches between the GUI and data fetched by the client, extending the scale of privacy leakages. Particularly, we identify 76 services that perform data overfetching. Finally, 18 services have acknowledged and addressed the weaknesses in their services, thereby enhancing the privacy of at least 120M users.
- Abstract(参考訳): デジタルサービスプロバイダは、サービスへのアクセスを簡単にする技術を採用することで、摩擦のないユーザエクスペリエンスを優先することが多い。
広く使われているメカニズムのひとつに、リンク(URL)を提供するショートメッセージサービス(SMS)がある。
しかし、SMSは本質的に安全ではなく、多くの報告がメッセージの傍受とデータ漏洩を文書化している。
したがって、そのような安全でないチャネルに対する過度な信頼の帰結は、意図しないアクセスと敵による搾取のための道を開く。
本稿では、公衆SMSゲートウェイのレンズからSMS配信URLがもたらす影響を包括的に調査する。
我々は、30万以上の電話番号にまたがる3300万以上のメッセージから抽出された322万以上のユニークなSMS配信URLについて調査を行い、重大なセキュリティとプライバシーの脆弱性を明らかにした。
我々は177のサービスに影響を及ぼす701のエンドポイントにおけるPII(Personally Identible Information)の露出を同定し、検証する。
我々の手動による暴露の根本原因の調査では、トークン化されたベアラーリンクを十分な認証証明として活用する弱い認証モデルが明らかとなり、それによって、URLを持っている人なら誰でも、社会保障番号、生年月日、銀行口座番号、信用スコアなどのプライベートユーザー情報にアクセスできるようになる。
さらに、トークン内のエントロピーが低いため、有効なURLの大量列挙を可能にする125のサービスを特定し、当初漏洩したユーザ以外のプライバシーリスクをカスケードする。
さらに、GUIとクライアントが取得したデータのミスマッチを識別し、プライバシリークの規模を拡大する。
特に、データオーバーフェッチを実行する76のサービスを特定します。
最後に、18のサービスがサービスの弱点を認識し、対処し、少なくとも1億2000万人のユーザのプライバシーを強化した。
関連論文リスト
- MAGPIE: A dataset for Multi-AGent contextual PrIvacy Evaluation [54.410825977390274]
LLMエージェントのコンテキストプライバシを評価するための既存のベンチマークは、主にシングルターン、低複雑さタスクを評価する。
まず、15ドメインにわたる158のリアルタイムハイテイクシナリオからなるベンチマーク-MAGPIEを示す。
次に、コンテキスト的にプライベートなデータに対する理解と、ユーザのプライバシを侵害することなくコラボレーションする能力に基づいて、最先端のLCMを評価します。
論文 参考訳(メタデータ) (2025-06-25T18:04:25Z) - User Perceptions and Attitudes Toward Untraceability in Messaging Platforms [3.87707864695882]
「追跡不能」とは、第三者が誰と通信するかの追跡を妨げている。
本稿では「追跡不能」に対するユーザの認識と態度について考察する。
我々は、ユーザーが追跡不能なメッセージングに役立つと認識する多様な機能群を識別する。
論文 参考訳(メタデータ) (2025-06-12T18:19:50Z) - A False Sense of Privacy: Evaluating Textual Data Sanitization Beyond Surface-level Privacy Leakage [77.83757117924995]
我々は、データリリース時の個人のプライバシーリスクを定量化するために、再識別攻撃を評価する新しいフレームワークを提案する。
本手法は, 衛生データから年齢や物質使用履歴などのセンシティブな属性を推測するために, 一見無害な補助情報を利用できることを示す。
論文 参考訳(メタデータ) (2025-04-28T01:16:27Z) - Careless Whisper: Exploiting Silent Delivery Receipts to Monitor Users on Mobile Instant Messengers [1.6857161116805999]
本稿では,配送レシートがユーザに対して重大なプライバシー上のリスクをもたらすことを強調する。
特別に作られたメッセージを使って、配達のレシートをトリガーすることで、ユーザーは自分の知識や同意なしに入力できるのです。
私たちはこの問題に対処するための設計変更を主張する。
論文 参考訳(メタデータ) (2024-11-17T22:58:28Z) - Assessing Privacy Compliance of Android Third-Party SDKs [16.975384208528972]
サードパーティのソフトウェア開発キット(SDK)は、Androidアプリ開発で広く採用されている。
この利便性は、ユーザのプライバシに敏感な情報への不正アクセスに関するかなりの懸念を引き起こす。
当社の研究では,AndroidサードパーティSDK間のユーザプライバシ保護を対象とする分析を行っている。
論文 参考訳(メタデータ) (2024-09-16T15:44:43Z) - PrivacyLens: Evaluating Privacy Norm Awareness of Language Models in Action [54.11479432110771]
PrivacyLensは、プライバシに敏感な種子を表現的なヴィグネットに拡張し、さらにエージェントの軌跡に拡張するために設計された新しいフレームワークである。
プライバシの文献とクラウドソーシングされたシードに基づいて、プライバシの規範のコレクションをインスタンス化する。
GPT-4やLlama-3-70Bのような最先端のLMは、プライバシー強化の指示が出されたとしても、機密情報を25.68%、38.69%のケースでリークしている。
論文 参考訳(メタデータ) (2024-08-29T17:58:38Z) - Pudding: Private User Discovery in Anonymity Networks [9.474649136535705]
プディングは、新しいプライベートユーザー発見プロトコルである。
ユーザ間の連絡先関係を隠蔽し、不正行為を防止し、ネットワーク上でどのユーザ名が登録されているかを隠蔽する。
プルは、基盤となる匿名ネットワークプロトコルを変更することなく、LoopixとNymにデプロイできる。
論文 参考訳(メタデータ) (2023-11-17T19:06:08Z) - Privacy Explanations - A Means to End-User Trust [64.7066037969487]
この問題に対処するために、説明可能性がどのように役立つかを検討しました。
私たちはプライバシーの説明を作成し、エンドユーザの理由と特定のデータが必要な理由を明らかにするのに役立ちました。
我々の発見は、プライバシーの説明がソフトウェアシステムの信頼性を高めるための重要なステップであることを示している。
論文 参考訳(メタデータ) (2022-10-18T09:30:37Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。