Länkförhandsvisningar är onekligen en praktisk funktion. Men det kan också äventyra integritet och säkerhet.
Länkförhandsgranskning (eller förhandsgranskning) är en funktion som finns i nästan alla moderna meddelandeappar, och den finns inte bara där. Det förenklar onlinekonversationer genom att visa en kort beskrivning av webbplatsen, en miniatyrbild eller både bilder och text som är kopplade till den länkade filen.
Tyvärr kan de också ge bort vår känsliga data, konsumera internet, tömma smartphones batterier och till och med öppna länkar i krypterade chattar från början till slut. Enligt en studie som publicerades på måndagen hittades de allvarligaste kränkningarna i budbärarna Facebook (utan tvekan), Instagram, LinkedIn och Line.
Hur fungerar förhandsgranskningen?
När avsändaren inkluderar en länk i ett meddelande, åtföljs appen med en titel, kort text och en bild. Det brukar se ut ungefär så här:
För att detta ska hända måste själva applikationen, eller en proxyserver som tilldelats den, följa länken, öppna filen eller webbplatsen där och se vad den innehåller. Och det är just detta som gör användare sårbara för attacker. De farligaste apparna är de som låter dig ladda ner skadlig programvara, medan andra kan tvingas ladda ner filer så stora att de får applikationen att krascha, tömma batteriet eller förbruka begränsad internettrafik.
Och om länken leder till privat innehåll, till exempel en skattedeklaration som skickas till ett privat OneDrive- eller DropBox-konto, kan appservern se och lagra det på obestämd tid.
Forskarna Talal Haj Bakri och Tommy Mysk, som producerade rapporten, fann att Facebook Messenger och Instagram hade mest missbruk. Som visas i videon nedan laddar båda applikationerna ner och kopierar hela den länkade filen, även om den mäts i gigabyte. Och det kan vara ett problem om användare vill hålla filen de skickar privat.
Instagram-servrar kommer att ladda ner alla länkar som skickas i privata meddelanden, även om det är 2,6 GB.
Genom att ladda ner dessa bilagor kan applikationer förbruka en enorm mängd internettrafik och batterikraft. Båda programmen kör även JavaScript som finns i länken. Problemet är att användare inte har möjlighet att kontrollera säkerheten för JavaScript-koden på sajten och kan inte förvänta sig att snabbmeddelanden ska ha samma exploateringsskydd ombord som moderna webbläsare.
Hackare kan köra vilken JavaScript-kod som helst på Instagrams servrar.
Haj Bakri och Mysk rapporterade sina fynd till Facebook själv, men företaget sa att båda apparna fungerade som förväntat. LinkedIn gick lite bättre. Den enda skillnaden var att istället för att kopiera filer av valfri storlek, kopierade den bara de första 50 megabyte.
Under tiden, när Line -appen öppnar det krypterade meddelandet och hittar länken, skickar den det till företagets server för att generera en förhandsvisning.
"Vi tror att detta motverkar syftet med end-to-end-kryptering, eftersom LINE-servrar vet allt om länkarna som skickas genom appen och vem som skickar vilka länkar till vem", skrev forskarna.
Discord, Google Hangouts, Slack, Twitter och Zoom kopierar också filer, men de begränsar mängden data till mellan 15 MB och 50 MB. Tabellen nedan ger en jämförelse av varje applikation som ingår i studien.
Sammantaget är studien goda nyheter, eftersom den visar att de flesta meddelandeappar fungerar korrekt. Till exempel, Signal, Threema, TikTok och WeChat ger användare möjlighet att inte få länkförhandsvisningar. För verkligt känsliga meddelanden och användare som vill ha maximal sekretess är dessa de bästa alternativen. Trots allt, även om det finns en förhandsvisning i den, använder dessa applikationer relativt säkra metoder för att rendera dem. Tyvärr tog Tommy och Hajj inte med Telegram i sin studie.