Linkvoorbeeld is waarschijnlijk de meest voorkomende functie in de meeste apps die we dagelijks gebruiken. Of het nu een link is naar een pdf-bestand, nieuwsartikel, blogbericht of YouTube-video, we krijgen elke keer dat we de muisaanwijzer over een bepaalde link bewegen een voorbeeld van een link. Uit het voorbeeld kunnen we zien waar de link over gaat, aangezien we de titel ervan kunnen lezen. Het wordt meestal geleverd met een voorbeeldafbeelding. We kunnen dat allemaal zien, zelfs zonder op de link te drukken.
Dat is allemaal erg handig en iedereen vindt het vanzelfsprekend.
De meeste mensen realiseren zich echter niet dat linkvoorbeelden potentiële privacy- en beveiligingsrisico’s met zich meebrengen. Een voorbeeld van een enkele link kan gevoelige gegevens blootleggen, uw batterij leegmaken of zelfs persoonlijke gegevens onthullen in chats die verondersteld worden te worden gedekt door end-to-end-codering.
Tommy Mysk en Talal Haj Bakry voerden het onderzoek uit. In het onderzoek onthulden ze dat Instagram- en Facebook-messenger tot de ergste overtreders behoorden, gevolgd door Line- en LinkedIn-messenger.
Om het onderwerp beter te begrijpen, moeten we linkvoorbeelden en de mechanismen erachter begrijpen.
De app of een door een app toegewezen proxy moet naar de link gaan, dat bestand openen en kijken wat het bevat om het linkvoorbeeld te zien. Er zijn veel stappen die de gebruiker kwetsbaar maken voor mogelijke aanvallen.
Als gevolg hiervan loopt de gebruiker het risico malware te downloaden, de batterij leeg te maken, de app te laten crashen, enz. In sommige gevallen verbruikt zelfs schadelijke software de bandbreedte van de gebruiker. In één scenario kan schadelijke software zijn weg vinden naar persoonlijke gegevens, zoals een bankrekeningnummer dat op een privé Dropbox- of OneDrive-account is geplaatst.
Het onderzoek richtte zich meer op een reeks tests die onthulden hoe berichten-apps omgingen met previews. Zoals hierboven vermeld, bleken Instagram- en Facebook-messenger behoorlijk kwetsbaar omdat ze JavaScript vrijelijk uitvoeren binnen de preview-link. Instagram heeft zelfs 2 GB aan inhoud gedownload die verborgen was in de voorbeeldafbeeldingslink.
Ondersteuningsteams van Instagram en Facebook ontkenden de beweringen, maar Mysk en Bakry maakten het duidelijk in hun videopresentaties.
Apps met berichtfuncties zoals LinkedIn, Zoom, Slack, Google Hangout en Discord kopieerden ook bestanden, maar ze beperken de hoeveelheid gegevens die ze downloaden naar hun voorbeeldservers. In de meeste gevallen is de gegevensgrootte beperkt tot 15-50 MB per download. Dat is nog steeds iets om je zorgen over te maken, maar het is niet zo’n enorme inbreuk als de Instagram- en Facebook Messenger-apps.
Het is ook vermeldenswaard dat bepaalde berichten-apps hiervan op de hoogte zijn. Ze geven hun gebruikers ook de mogelijkheid om links te ontvangen zonder een voorbeeld. WeChat-, TikTok-, Threema- en Signal-gebruikers kunnen er bijvoorbeeld voor kiezen om links zonder preview te ontvangen.
Wat denk je? Ben je verbaasd dat linkvoorbeelden dit soort risico’s met zich mee kunnen brengen? Laat het ons hieronder weten in de comments of neem de discussie mee naar onze Twitter of Facebook.
Aanbevelingen van de redactie:
