Facebook Messenger und Instagram haben dieses riesige Sicherheitsrisiko: Was tun

(Bildnachweis: SOPA Images / Getty Images)

Die Linkvorschau in vielen mobilen Messaging- und Chat-Apps sowohl auf iOS als auch auf Android birgt enorme Sicherheits- und Datenschutzrisiken, sagen zwei Forscher.

Facebook Messenger, Instagram, Line und LinkedIn werden als die schlimmsten Täter genannt, aber einige andere sind so viel schlimmer, dass sie nicht einmal erwähnt werden können, bis sie ihre Fehler behoben haben.



  • Black Friday-Angebote: Hier finden Sie die besten Frühbucherangebote.

'Link-Vorschauen in Chat-Apps können ernsthafte Datenschutzprobleme verursachen, wenn sie nicht richtig ausgeführt werden', Forscher Talal Haj Bakry und Tommy Mysk schrieb in einem Bericht, der Anfang dieser Woche online gestellt wurde.

was kommt mit Discovery Plus

'Wir haben mehrere Fälle von Apps mit Schwachstellen gefunden, wie zum Beispiel das Durchsickern von IP-Adressen, das Offenlegen von Links, die in durchgehend verschlüsselten Chats gesendet wurden, und das unnötige Herunterladen von Gigabyte an Daten im Hintergrund.'

Auch die Vorschaufunktionen einiger Apps entladen die Smartphone-Akkus. Andere könnten dazu führen, dass Benutzergeräte oder App-Service-Remoteserver Malware ausführen. Viele andere haben Benutzerinformationen preisgegeben, die privat sein sollten.

'Wir denken, dass Link-Vorschauen eine gute Fallstudie sind, wie eine einfache Funktion Datenschutz- und Sicherheitsrisiken bergen kann', schreiben die Forscher.

Wer ist gut, wer ist schlechter und wer ist so schlecht, dass sie nicht genannt werden

Während Facebook Messenger, Instagram und LinkedIn für riskante Praktiken herausgegriffen wurden, betrafen diese Risiken eher die Server dieser Unternehmen als die Endbenutzer.

Line verursachte unter den aufgelisteten Apps die schlimmsten Datenschutzrisiken, aber mehrere Teile des Berichts wurden geschwärzt, weil es sich um Apps handelte, deren Probleme schwerwiegender waren und die nicht behoben wurden.

Die Forscher listeten 16 untersuchte Apps auf. Neben den vier bereits genannten waren die anderen 12 Discord, Google Hangouts, iMessage, Locker , Signal , Threema, TikTok , Twitter, Viber, WeChat, WhatsApp und Zoomen .

Reddit wurde im Forschungsbericht nicht genannt, aber in eine Tabelle der untersuchten Apps aufgenommen, die in . veröffentlicht wurden Ars Technica und festgestellt, dass seine Probleme behoben wurden. Das gleiche Diagramm im aktuellen Forschungsbericht enthielt Reddit nicht.

AMD entspricht rtx 3080

Nicht untersucht oder zumindest nicht genannt wurden mehrere andere prominente Messaging- und Chat-Apps, darunter Kik, Microsoft Teams , Skype , Snapchat , Telegram , Wickr Me und Wire. Wir werden diesen Bericht im Auge behalten, um zu sehen, ob einige von ihnen zu denen mit den schlimmsten Problemen gehören.

(Bildnachweis: Talal Haj Bakry und Tommy Mysk)

Um die Risiken von Linkvorschauen zu vermeiden, verwenden Sie entweder Messaging-Apps, die dies überhaupt nicht tun, wie Threema, TikTok oder WeChat, oder Apps, die dies mit minimalem Risiko tun, wie Apple iMessage, Viber und WhatsApp.

Signal fällt in beide Lager, da Sie die Linkvorschau in seinen Einstellungen deaktivieren können.

Eine Linkvorschau ist eine Momentaufnahme, die zeigt, was sich am anderen Ende eines Weblinks befindet, den Ihnen jemand anderes sendet. Sie müssen nicht auf den Link klicken, um ihn anzuzeigen.

Die Linkvorschau besteht normalerweise aus einer Miniaturansicht des Lead-Bilds auf einer Webseite sowie den ersten Textzeilen auf der Seite. Hier ist ein Beispiel aus dem Slack-Chat, den wir bei TemplateStudio verwenden.

(Bildnachweis: Future/Slack)

Das scheint einfach, aber es gibt drei verschiedene Möglichkeiten, diese Vorschau in Ihrer Chat- oder Messaging-App anzuzeigen. Jeder hat sein eigenes Risikoniveau.

Bei der ersten und sichersten Methode erstellt die App des Nachrichtensenders die Linkvorschau und sendet sie zusammen mit dem Link selbst. Wenn Ihre Kumpel Frances also iMessage verwendet, um Ihnen einen Link zu einer Seite auf TomsGuide.com zu senden, verpackt iMessage auf ihrem iPhone eine kleine Vorschau der TemplateStudio-Seite und bündelt sie in der Linknachricht.

'Bei diesem Ansatz wird davon ausgegangen, dass derjenige, der den Link sendet, ihm vertrauen muss, da die App des Absenders den Link öffnen muss', schreiben Bakry und Mysk.

Zu den Messaging-Apps, die dies tun, gehören Apple iMessage, Viber und WhatsApp sowie Signal, wenn die Linkvorschau aktiviert ist.

Die zweite Methode ist weitaus gefährlicher. In diesem Fall enthält die Nachricht des Absenders nur den Link, und die App auf dem Gerät des Nachrichtenempfängers muss die Linkvorschau generieren, indem sie den Link öffnet, bevor der Empfänger überhaupt darauf klickt.

Galaxy Z Fold3 5g Hülle

Unabhängig davon, ob Sie den Link öffnen möchten oder nicht, lädt Ihre Messaging-App die Webseite im Hintergrund, einschließlich aller schädlichen Inhalte oder Codes, die sie möglicherweise enthält. Der Server am anderen Ende würde auch die IP-Adresse Ihres Telefons und möglicherweise sogar Ihren physischen Standort erfahren.

Wenn Ihr schelmischer Cousin Evil Jake sich also mit Ihnen anlegen möchte, kann er Ihnen einen Link zu einer bösartigen Site senden, von der bekannt ist, dass sie den Messaging-Dienst hackt, den Sie beide verwenden. Alles, was Sie tun müssen, ist die Nachricht anzuzeigen.

Bakry und Mysk würden die Apps, die dies tun, nicht nennen. Mindestens zwei dieser Apps laden auch automatisch große Dateien in Vorschaulinks herunter und verbrauchen Bandbreite, Datenpläne und Akkulaufzeit.

Die dritte und gebräuchlichste Methode bezieht die Server der Messaging-Anbieter mit ein. Zu den Diensten, die diese Methode verwenden, gehören Discord, Facebook Messenger, Google Hangouts, Instagram, Line, LinkedIn, Slack, Twitter und Zoom sowie mindestens eine, die Bakry und Mysk nicht nennen würden.

Wenn der Nachrichtensender einen Link in eine Nachricht einbettet, generiert ein vom Nachrichtenanbieter gesteuerter Remote-Server die Vorschau und sendet sie sowohl an den Nachrichtensender als auch an den Nachrichtenempfänger.

Dies führt nicht dazu, dass das Telefon des Nachrichtenempfängers Malware ausführt oder riesige Dateien herunterlädt, aber es kann dazu führen, dass die Server des Dienstanbieters beides tun.

Bakry und Mysk haben auf YouTube Videos gepostet, die zeigen, wie zwei Instagram-Nachrichten die Server von Facebook dazu veranlassten, zwei Dutzend Gigabyte an Daten herunterzuladen und in die verlinkten Webseiten eingebettetes JavaScript auszuführen. LinkedIn-Server führten auch JavaScript aus.

Die Server-in-the-Middle-Konfiguration birgt auch Datenschutzrisiken. Wenn der Absender der Nachricht ein privates Dokument – ​​beispielsweise ein Google-Dokument – ​​an den Empfänger sendet, laden die Server des Dienstanbieters zumindest einen Teil dieses Google-Dokuments herunter, um eine Vorschau zu generieren.

Die Mitarbeiter des Dienstanbieters können zumindest einen Teil des Inhalts des Google-Dokuments sehen, solange die Daten aufbewahrt werden. Slack beispielsweise teilte den Forschern mit, dass die Daten nur 30 Minuten aufbewahrt werden.

Es spielt auch eine Rolle, wie viele Daten aus dem eingebetteten Link die Server verwenden. Die meisten verwenden nur zwischen den ersten 15 MB und 50 MB, die auf einer Seite angezeigt werden.

Aber Facebook Messenger und Instagram laden eine unbegrenzte Menge an Daten, und so haben die Forscher die Server von Instagram dazu gebracht, mehrere Kopien einer 2,7-GB-Ubuntu-Linux-Installationsdatei herunterzuladen, wenn sie in einer Nachricht verlinkt wurde.

Was kommt als nächstes

Bakry und Mysk wandten sich an die Messaging-Dienstleister, bei denen sie Sicherheits- und Datenschutzprobleme fanden.

Line hat eines seiner Probleme behoben. Zoom sagte, es würde das Problem untersuchen. Aber Facebook sagte, was Bakry und Mysk mit Messenger und Instagram beobachteten, sei eigentlich kein Problem, und als die Forscher ihren Bericht veröffentlichten, gab es keine Antwort von Discord, Google oder LinkedIn.

'Da wir nur zu zweit in unserer Freizeit recherchieren, konnten wir nur einen kleinen Teil der Millionen von Apps abdecken', schlossen sie.

Beste Samsung Galaxy S21 Hülle

'Es gibt viele E-Mail-Apps, Business-Apps, Dating-Apps, Spiele mit integriertem Chat und andere Arten von Apps, die Linkvorschauen nicht ordnungsgemäß erstellen und für einige der hier behandelten Probleme anfällig sein können.'

Die besten Angebote für Microsoft Xbox Series X von heuteBlack Friday Sale endet in02Tage18Stunden54Minuten23trocken Microsoft Xbox Series X... Adorama $ 684,96 Aussicht Reduzierter Preis Xbox-Serie X Walmart $ 949 $ 849,99 Aussicht Xbox Series X 1TB - Rückwärts... Amazonas 1.299 $ Aussicht Schau dir mehr an Angebote bei Amazonas Walmart Bester Kauf Dell Wir prüfen täglich über 250 Millionen Produkte auf die besten Preise