En ny sikkerhedsrapport angiver, at linkeksempler, der deles i chatapplikationer, kan forårsage “alvorlige privatlivsproblemer, hvis de ikke gøres ordentligt."
Forskerne Talal Haj Bakry og Tommy Mysk opdagede flere tilfælde af sårbare apps, der lækkede IP-adresser, eksponere links i ende-til-ende-krypterede chats, og lydløst download af gigabyte data uden behov.
De skjulte risici ved linkeksempler i chatapps
Forskerne påpeger, at forhåndsvisning af link er et godt eksempel på, hvordan en simpel funktion kan skjule sikkerhedsrisici. Under deres forskning, holdet fandt flere fejl i den måde, funktionen er implementeret i populære chat-apps på Android og iOS.
Problemet med forhåndsvisning af link er, at de kan indeholde følsomme oplysninger, som kun modtagere skal se. Disse oplysninger kan være kontrakter, medicinske journaler, eller andre fortrolige dokumenter. Med andre ord, apps, der stoler på servere til at generere forhåndsvisning, kan krænke brugernes privatliv, analysen bemærker.
Så, hvilke apps der bruger linkeksempler? De fleste chatapps bruger dem, da funktionen gør det nemt at vise en visuel forhåndsvisning og en kort beskrivelse af linket. Nogle apps, såsom Signal gør det muligt for brugere at slå linkeksempler til eller fra. Andre apps, såsom WeChat og TikTok generer ikke et eksempel på et link. Apps, der bruger forhåndsvisning af link, aktiverer dem på to måder - ved afsenderens eller modtagerens afslutning eller via en ekstern server, der sendes tilbage til begge chatsider.
Eksempler på link på afsendersiden er implementeret i Apple iMessage, Signal (når aktiveret), Viber, og WhatsApp. Disse fungerer ved at downloade linket, oprette eksempelbillede og resumé, og sende det til modtageren i form af en vedhæftet fil. Når den anden bruger modtager forhåndsvisning, det viser denne besked uden behov for at åbne linket.
På denne måde, brugeren er beskyttet mod mistænkelige links. På den anden side, forhåndsvisning af link på modtagersiden kan give trusselsaktører mulighed for at måle brugerens omtrentlige placering. Dette kan ske uden nogen handling på modtagerens side; alt, hvad der skal gøres, er at sende et link til en server, der kontrolleres af trusselsaktøren.
Hvordan er det muligt? Når chatappen modtager en besked med et link, det åbner URL'en automatisk for at oprette eksemplet. Men, denne proces afslører enhedens IP-adresse i anmodningen sendt til serveren. Dette problem er til stede i Reddit Chat, og en anden app, som ikke er blevet afsløret, men arbejder på at løse problemet.
Flere tekniske detaljer om, hvordan linkeksempler kan true vores sikkerhed, er til stede i forskernes blog.