Een nieuw beveiligingsrapport geeft aan dat voorvertoningen van koppelingen die in chatapplicaties worden gedeeld, 'ernstige privacyproblemen als deze niet goed worden gedaan."
Onderzoekers Talal Haj Bakry en Tommy Mysk ontdekten verschillende gevallen van kwetsbare apps die IP-adressen lekten, het blootleggen van links in end-to-end-gecodeerde chats, en zonder enige noodzaak gigabytes aan gegevens geruisloos downloaden.
De verborgen risico's van linkvoorbeelden in chat-apps
De onderzoekers wijzen erop dat linkvoorbeelden een goed voorbeeld zijn van hoe een eenvoudige functie beveiligingsrisico's kan verbergen. Tijdens hun onderzoek, Het team heeft verschillende bugs gevonden in de manier waarop de functie wordt geïmplementeerd in populaire chat-apps op Android en iOS.
Het probleem met linkvoorbeelden is dat ze gevoelige informatie kunnen bevatten die alleen ontvangers zouden moeten zien. Deze informatie kan contracten zijn, medische gegevens, of andere vertrouwelijke documenten. Met andere woorden, apps die afhankelijk zijn van servers om voorbeelden te genereren, schenden mogelijk de privacy van gebruikers, de analyse-aantekeningen.
Dus, welke apps linkvoorbeelden gebruiken? De meeste chat-apps gebruiken deze, omdat de functie het gemakkelijk maakt om een visueel voorbeeld en een korte beschrijving van de link weer te geven. sommige apps, zoals Signal stellen gebruikers in staat om linkvoorbeelden in of uit te schakelen. Andere apps, zoals WeChat en TikTok genereer geen linkvoorbeeld. Apps die linkvoorbeelden gebruiken, maken ze op twee manieren mogelijk: aan de kant van de afzender of ontvanger of via een externe server die naar beide chat-kanten wordt teruggestuurd.
Voorvertoningen van koppelingen aan de verzender zijn geïmplementeerd in Apple iMessage, Signaal (indien ingeschakeld), Viber, en WhatsApp. Deze werken door de link te downloaden, een voorbeeldafbeelding en samenvatting maken, en het verzenden naar de ontvanger in de vorm van een bijlage. Wanneer de andere gebruiker het voorbeeld ontvangt, het toont dat bericht zonder de link te hoeven openen.
Zo, de gebruiker is beschermd tegen verdachte links. Anderzijds, Met linkvoorbeelden aan de ontvangerskant kunnen bedreigingsactoren de geschatte locatie van de gebruiker meten. Dit kan gebeuren zonder enige actie van de kant van de ontvanger; het enige dat hoeft te worden gedaan, is het verzenden van een link naar een server die wordt beheerd door de bedreigingsacteur.
Hoe is dit mogelijk? Wanneer de chat-app een bericht met een link ontvangt, het opent de URL automatisch om het voorbeeld te maken. Echter, dit proces maakt het IP-adres van het apparaat bekend in het verzoek dat naar de server wordt verzonden. Dit probleem doet zich voor in Reddit Chat, en een andere app die niet is bekendgemaakt, maar bezig is het probleem op te lossen.
Meer technische details over hoe linkvoorbeelden een bedreiging kunnen zijn voor onze veiligheid, zijn aanwezig in het blog van de onderzoekers.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: