Welche Messenger verlieren Ihre Daten, entladen Ihren Akku und verbrauchen Internetverkehr
Link-Vorschauen sind eine unbestreitbar praktische Funktion. Es kann jedoch auch die Privatsphäre und Sicherheit gefährden.
Die Linkvorschau (oder Vorschau) ist eine Funktion, die in fast jeder modernen Messaging-App zu finden ist, und sie ist nicht nur da. Es vereinfacht Online-Gespräche, indem es eine kurze Beschreibung der Website, ein Miniaturbild oder sowohl Bilder als auch Text anzeigt, die mit der verknüpften Datei verknüpft sind.
Leider können sie auch unsere sensiblen Daten preisgeben, Internet verbrauchen, Smartphone-Akkus entladen und sogar Links in Ende-zu-Ende- verschlüsselten Chats öffnen. Laut einer am Montag veröffentlichten Studie wurden die schwerwiegendsten Verstöße bei den Messengern Facebook (ohne Zweifel), Instagram, LinkedIn und Line festgestellt.
Wie funktioniert die Vorschau?
Wenn der Absender einen Link in eine Nachricht einfügt, begleitet die App ihn mit einem Titel, einem kurzen Text und einem Bild. Es sieht normalerweise ungefähr so aus:
Dazu muss die Anwendung selbst oder ein ihr zugewiesener Proxy-Server dem Link folgen, dort die Datei oder Website öffnen und sehen, was sie enthält. Und genau das macht Anwender anfällig für Angriffe. Die gefährlichsten Apps sind diejenigen, die Ihnen das Herunterladen von Malware ermöglichen, während andere dazu gezwungen werden können, Dateien herunterzuladen, die so groß sind, dass sie zum Absturz der Anwendung führen, Ihren Akku entladen oder begrenzten Internetverkehr verbrauchen .
Und wenn der Link zu privaten Inhalten führt, wie z. B. einer Steuererklärung, die auf einem privaten OneDrive- oder DropBox-Konto veröffentlicht wurde, kann der App-Server diese anzeigen und unbegrenzt speichern .
Die Forscher Talal Haj Bakri und Tommy Mysk, die den Bericht erstellt haben, fanden heraus, dass Facebook Messenger und Instagram am stärksten missbraucht wurden. Wie im folgenden Video gezeigt, laden und kopieren beide Anwendungen die gesamte verknüpfte Datei, auch wenn sie in Gigabyte gemessen wird. Und das kann ein Problem sein, wenn Benutzer die von ihnen gesendete Datei privat halten möchten.
Instagram-Server laden jeden Link herunter, der in privaten Nachrichten gesendet wird, auch wenn es sich um 2,6 GB handelt.
Durch das Herunterladen dieser Anhänge können Anwendungen eine enorme Menge an Internetverkehr und Akkuleistung verbrauchen. Beide Anwendungen führen auch das im Link enthaltene JavaScript aus. Das Problem ist, dass Benutzer nicht die Möglichkeit haben, die Sicherheit des JavaScript-Codes auf der Website zu überprüfen, und nicht erwarten können, dass Instant Messenger den gleichen Exploit-Schutz an Bord haben wie moderne Browser.
Hacker können jeden beliebigen JavaScript-Code auf den Servern von Instagram ausführen.
Haj Bakri und Mysk meldeten ihre Ergebnisse Facebook selbst, aber das Unternehmen sagte, dass beide Apps wie erwartet funktionierten. LinkedIn schnitt etwas besser ab. Der einzige Unterschied bestand darin, dass anstelle von Dateien beliebiger Größe nur die ersten 50 Megabyte kopiert wurden .
Wenn die Line- App die verschlüsselte Nachricht öffnet und den Link findet, sendet sie sie an den Server des Unternehmens, um eine Vorschau zu erstellen.
„Wir glauben, dass dies den Zweck der Ende-zu-Ende-Verschlüsselung zunichte macht, da LINE-Server alles über die Links wissen, die über die App gesendet werden, und wer welche Links an wen weitergibt”, schrieben die Forscher.
Discord, Google Hangouts, Slack, Twitter und Zoom kopieren ebenfalls Dateien, begrenzen die Datenmenge jedoch auf 15 MB bis 50 MB. Die folgende Tabelle bietet einen Vergleich der einzelnen in die Studie eingeschlossenen Anwendungen.
Insgesamt ist die Studie eine gute Nachricht, da sie zeigt, dass die meisten Messaging-Apps korrekt funktionieren. Beispielsweise geben Signal, Threema, TikTok und WeChat Benutzern die Möglichkeit, keine Linkvorschau zu erhalten. Für wirklich sensible Nachrichten und Benutzer, die maximale Privatsphäre wünschen, sind dies die besten Optionen. Schließlich verwenden diese Anwendungen, selbst wenn eine Vorschau darin enthalten ist, relativ sichere Mittel, um sie zu rendern. Leider haben Tommy und Hajj Telegram nicht in ihre Studie aufgenommen.