Erg handig als je een kleine preview krijgt wanneer je een link plaatst in bijvoorbeeld een WhatsApp-gesprek. Je weet wat je krijgt en kunt al beoordelen of het een betrouwbare link lijkt. Maar juist die mogelijkheden kunnen volgens onderzoek een gevaar opleveren.
Ze kunnen gevoelige datalekken veroorzaken, maar ze kunnen genieten van onze gegevens en de batterijduur van het apparaat. Gelukkig is de berichtendienst WhatsApp voorzien van end-to-end encryptie, maar de chatfuncties van onder meer Facebook, LinkedIn, Instagram en Line blijken grote problemen te hebben met het previewen van wat er achter een link schuilgaat.
Voorbeeld
Preview of preview betekent dat er meer informatie onder de link verschijnt. Vaak zie je de website waarnaar gelinkt wordt, de titel van het bericht, de inleidende tekst en vaak ook de headerfoto. Kortom, je krijgt direct veel informatie. Soms zo vaak dat je niet meer op de link hoeft te klikken om te weten hoe laat het is. Heel handig. Een mogelijkheid die we verschuldigd zijn aan een proxy zoals ontworpen in de app. Hiermee gaat de app zelf stiekem naar de link. Het kijkt naar wat erop staat en neemt de belangrijkste punten terug naar het gesprek.
Gevaarlijk, want als de app de link ‘vooraf controleert’, kan er een aanval plaatsvinden. Het is gedaan Onderzoek ontdekte dat malware daardoor zelfs kan worden gedownload. Apps worden soms ook door kwaadwillende partijen gedwongen om gigantische bestanden te downloaden.
Deze bestanden zorgen ervoor dat de app crasht of op de achtergrond wordt gedownload. Dit verkort snel de batterijduur van de telefoon. Nu is dit al een gevaar bij links naar bekende websites. Dit wordt nog erger wanneer er een koppeling naar een OneDrive of Dropbox wordt gemaakt.
Facebook messenger
Facebook Messenger en Instagram lijken beide het gekoppelde bestand in zijn geheel te downloaden, ook al is het enkele gigabytes groot. De onderzoekers hebben dit bij Facebook aangegeven, maar dat geeft aan dat deze optie werkt zoals bedoeld. Volgens het sociale platform downloaden de servers van Facebook alleen een verkleinde versie van een afbeelding en worden deze gegevens niet opgeslagen.
Bovendien wordt JavaScript ook als overlay aangebracht voor beveiliging. De onderzoekers zien echter iets anders: Instagram heeft een bestand van 2,6 GB gedownload. LinkedIn bewijst ook dat het doet wat Facebook pretendeert te doen: het downloadt alleen de eerste 50 MB van een bestand. Slack, Twitter, Zoom, Discord en Google Hangouts hebben allemaal een maximale gegevenscapaciteit van 50 MB.
“Valt vaak neer. Subtiel charmante tv-liefhebber. Toegewijde internetfan. Muziekbeoefenaar.”