Ein neuer Sicherheitsbericht weist darauf hin, dass in Chat-Anwendungen freigegebene Linkvorschauen dazu führen können, dassernsthafte Datenschutzprobleme, wenn nicht richtig gemacht."
Die Forscher Talal Haj Bakry und Tommy Mysk entdeckten mehrere Fälle von anfälligen Apps, bei denen IP-Adressen verloren gingen, Anzeigen von Links in durchgängig verschlüsselten Chats, und stilles Herunterladen von Gigabyte an Daten ohne Notwendigkeit.
Die versteckten Risiken von Linkvorschauen in Chat-Apps
Die Forscher weisen darauf hin, dass Linkvorschauen ein gutes Beispiel dafür sind, wie eine einfache Funktion Sicherheitsrisiken verbergen kann. Während ihrer Forschung, Das Team hat mehrere Fehler in der Implementierung der Funktion in beliebten Chat-Apps auf Android und iOS festgestellt.
Das Problem bei der Linkvorschau besteht darin, dass sie möglicherweise vertrauliche Informationen enthalten, die nur Empfänger sehen sollten. Diese Informationen können Verträge sein, Krankenakten, oder andere vertrauliche Dokumente. Mit anderen Worten, Apps, die zum Generieren von Vorschauen auf Server angewiesen sind, können die Privatsphäre der Benutzer verletzen, die Analyse Notizen.
So, Welche Apps verwenden Linkvorschauen?? Die meisten Chat-Apps verwenden diese, Die Funktion erleichtert die Anzeige einer visuellen Vorschau und einer kurzen Beschreibung des Links. einige Anwendungen, Mit Signal können Benutzer beispielsweise die Linkvorschau aktivieren oder deaktivieren. Andere Apps, wie WeChat und Tick Tack Generieren Sie keine Linkvorschau. Apps, die Linkvorschauen verwenden, ermöglichen sie auf zwei Arten - am Ende des Absenders oder Empfängers oder über einen externen Server, der an beide Chat-Seiten zurückgesendet wird.
Absenderseitige Linkvorschauen sind in Apple iMessage implementiert, Signal (wenn aktiviert), Viber, und WhatsApp. Diese funktionieren durch Herunterladen des Links, Erstellen eines Vorschaubilds und einer Zusammenfassung, und Senden an den Empfänger in Form eines Anhangs. Wenn der andere Benutzer die Vorschau erhält, Es zeigt diese Nachricht an, ohne dass der Link geöffnet werden muss.
So, Der Benutzer ist vor verdächtigen Links geschützt. Andererseits, Empfängerseitige Linkvorschauen könnten es Bedrohungsakteuren ermöglichen, den ungefähren Standort des Benutzers zu messen. Dies kann geschehen, ohne dass der Empfänger etwas unternimmt; Sie müssen lediglich einen Link an einen Server senden, der vom Bedrohungsakteur gesteuert wird.
Wie ist das möglich? Wenn die Chat-App eine Nachricht mit einem Link empfängt, Die URL wird automatisch geöffnet, um die Vorschau zu erstellen. Jedoch, Bei diesem Vorgang wird die IP-Adresse des Geräts in der an den Server gesendeten Anforderung angegeben. Dieses Problem ist im Reddit Chat vorhanden, und eine andere App, die noch nicht veröffentlicht wurde, aber an der Behebung des Problems arbeitet.
Weitere technische Details darüber, wie Linkvorschauen unsere Sicherheit gefährden können, sind vorhanden im Blog der Forscher.