iPhone 11 Pro in hand van man

Deze berichtenapps lekken persoonlijke data en trekken je batterij leeg

De grootste boosdoeners kun je al raden

Een onderzoek laat zien dat je met het uitwisselen van een linkje soms persoonlijke data kunt vrijgeven. Ook kunnen de apps veel meer data verbruiken en je batterij leegtrekken. Facebook Messenger en Instagram zijn daarbij de grootste boosdoeners. Ook LinkedIn krijgt een veeg uit de pan.

Linkjes doorsturen doen we allemaal wel eens. In plaats van een volledige PDF te versturen gebruiken we liever een link naar een bestand op Dropbox, iCloud of Google Drive. Maar beveiligingsonderzoekers Talal Haj Bakry en Tommy Mysk hebben nu ontdekt dat de previews van deze links vaak meer data verklappen dan je zou willen. Het gebeurt zowel op de iPhone als op Android-toestellen. Stuur je een link via een berichten-app zoals WhatsApp, iMessage of Facebook Messenger, dan wordt een preview van de link gemaakt. Deze bevat vaak een afbeelding, titel en soms nog een korte tekst. Nuttig, want dan kan de ontvanger meteen zien of de link interessant genoeg is om te openen.

Goed: iMessage en WhatsApp

Om een preview te kunnen maken moet de app echter wel de link openen en data ophalen. Daarbij zijn volgens de onderzoekers meerdere methoden mogelijk en die zijn niet altijd veilig. Twee apps die het netjes aanpakken zijn iMessage en (suprise!) WhatsApp. Die laatste komt ook uit de keukens van Facebook, maar doet het beter dan de andere berichtenapps uit hetzelfde concern. iMessage en WhatsApp genereren een preview op het toestel van de verzender. Deze voorbeeldweergave wordt lokaal aangemaakt, dus je weet wat je verstuurt en weet zeker dat de preview door de andere persoon is gegenereerd. De link hoeft op het toestel van de ontvanger niet meer geopend te worden en dat is veiliger, want er kan dan ook geen malware in actie komen.

Link previews in berichtenapps

Minder goed: Reddit

Reddit genereert pas een preview als de link bij de ontvanger is. Het opent automatisch de link om te kijken wat er moet worden getoond. Dit gebeurt op de achtergrond, waarbij ook ongewenste acties kunnen plaatsvinden zoals het verzamelen van je IP-adres en locatie. Pas dan wordt de preview getoond.

Slecht: Twitter, Instagram, Facebook Messenger, LinkedIn

De slechtste oplossing vind je bij apps zoals Instagram. Deze gebruiken een server om een preview van de link te maken. De berichten zijn dan niet end-to-end versleuteld en iedereen die toegang heeft tot de server (bijvoorbeeld Facebook) kan zien welke informatie jij hebt doorgestuurd. Het kan daarbij ook gaan om vertrouwelijke documenten met een ‘onmogelijk’ te raden URL.

Op die manier kan een formulier met geheime informatie naar de Facebook-servers gedownload worden, terwijl jij dacht dat je alleen maar een linkje stuurde. Facebook kan complete documenten downloaden, zelfs als het vele gigabytes in grootte is. LinkedIn, Google Hangouts, Slack, Twitter, Zoom en Discord downloaden ook je persoonlijke bestanden, maar halen alleen de eerste 15MB tot 50MB op.

Onnodig dataverbruik
De apps kunnen ook lokaal onnodig veel data gebruiken. Ze downloaden de preview automatisch, ook als het een groot bestand is. Bij Facebook Messenger is dit maximaal 20 MB, terwijl dit voor een simpele preview helemaal niet nodig is. Een ander beveiligingsprobleem bij Facebook Messenger en Instagram is dat ze elke JavaScript in een link uitvoeren. Als ontvanger weet je nooit hoe veilig dat is.

Beide onderszoekers hebben hun bevindingen bij Facebook gemeld. Dat bedrijf reageerde door te zeggen dat beide apps werken zoals ze bedoeld zijn.

De beste: Signal, Threema, WeChat en… TikTok
Bij de best presterende apps vinden we opmerkelijk genoeg ook TikTok. Deze app geeft net als Signal, Threema en WeChat gebruikers de mogelijkheid om géén link-preview te maken. Besluit je toch om een preview te gebruiken, dan hanteren deze apps een relatief veilige methode om ze weer te geven. Ook iMessage en WhatsApp pakken het goed aan, zoals je hierboven kon lezen. Viber scoort op alle punten ook goed, maar faalt op één aspect: onnodig data- en batterijverbruik.

De resultaten van het onderzoek zijn hier te lezen. Opvallend is dat Telegram en Snapchat niet zijn meegenomen. Waarom dit is, verklaren de onderzoekers niet.

Revisiegeschiedenis:

  • 2020 - 27 oktober: Ontbreken van Snapchat en Telegram toegevoegd.

Suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!

Informatie

Laatst bijgewerkt 27 oktober 2020, 14:01
Bron Bron Mysk
Via Via Ars Technica
Categorieën Apps, Diensten
Onderwerpen berichten, beveiliging, chatten

Plaats een reactie

Als je een eigen afbeelding bij je reactie wil, moet je je aanmelden bij Gravatar. Daar kun je jouw e-mailadres koppelen aan een afbeelding.

Suggestie hoe we dit artikel kunnen verbeteren?
Laat het ons weten!

    Off-topic reacties worden verwijderd. Linken naar illegale bronnen is niet toegestaan. Respecteer onze algemene gedragsregels. Gebruik voor eventuele spelfouten of andere opmerkingen met betrekking tot het artikel s.v.p. onze artikelrapportage. Voor opmerkingen over ons moderatiebeleid kun je ons contactformulier gebruiken. Reacties met betrekking hierover worden als off-topic beschouwd.
    Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactiegegevens worden verwerkt.