Taakka tiedonjakosivusto – seuraa aikamme ilmiöitä

Tietoturvariski sovelluksissa

Tämä toiminto onkin mätä tietoturvariski suosituissa sovelluksissa – katso täältä pahimmat tiedon levittäjät

Kun lähetät yhteystiedollesi linkin, siitä luodaan lähes aina esikatseluosio. Tämä voi olla pahakin tietoturvariski sovelluksen toimintatavoista riippuen.

Artikkeliin liittyvä kuva
Artikkeliin liittyvä kuva

Lähes kaikki suositut sovellukset muodostavat linkeistä esikatseluosioita. Ne avaavat linkin automaattisesti ja selvittävät, mitä se sisältää. Näin sovellus pystyy näyttämään käyttäjille linkin osoitteen sisältämää dataa kuten kuvan ja tiivistelmän sisällöstä ilman, että käyttäjän tarvitsee avata linkkiä.

Tämä voi olla pahakin tietoturvariski, 9to5Mac uutisoi. Tietoturvatutkijat Talal Haj Bakary ja Tommy Musk ovat nimittäin selvittäneet, että suuri osa suosituista viestintäsovelluksista hakee esikatseluosion tiedot ulkopuolisen palvelimen välityksellä.

Sovellus lähettää jaettavan linkin ulkopuoliselle palvelimelle, joka käy noutamassa esikatselutiedot linkissä olevan sivuston palvelimelta.

Ongelmia tulee silloin, kun lähetettävä linkki johtaa tietoon, jota ei haluta jakaa muille, tutkijat selittävät blogissaan. Jos lähettävä taho haluaa jakaa ystävälleen esimerkiksi salaisen Dropbox-linkin, palvelimen täytyy muodostaa sen sisällöstä kopio, jotta se voi muodostaa tiedostosta esikatseluosion.

Tämä herättää tutkijoiden mukaan kysymyksiä siitä, kuinka kauan kopioita säilytetään palvelimella, mitä muuta tiedoilla tehdään, ja miten hyvin nämä palvelimet on suojattu.

Ulkopuolista palvelinta esikatselun muodostamisessa käyttävät ainakin Instagram, Facebook Messenger, Linkedin, Slack, Twitter, Zoom, Google Hangouts, Discord ja Line.

Vielä pahempi vaihtoehto

Osa sovelluksista muodostaa esikatseluosion linkin vastaanottavan käyttäjän päässä. Tämä tarkoittaa sitä, että käyttäjän sovellus menee esikatselun muodostusta varten automaattisesti linkin osoittamalle palvelimelle lukemaan sisältöä.

Linkin osoittama palvelin tarvitsee käyttäjän laitteen ip-osoitteen pyydetyn datan lähettämistä varten. Sovellus jättää siis käyttäjän vierailusta ulkopuoliselle taholle jäljen, vaikka käyttäjä ei olisi koskaan linkkiä avannutkaan.

Jos linkin ylläpitäjä on pahantahtoinen hakkeri, hän voi tallentaa käyttäjän ip-osoitteen, jonka kautta hän saa selville käyttäjän tarkan sijainnin.

Vastaanottavan tahon päässä muodostuva esikatselu asettaa käyttäjän laitteen alttiiksi myös liian suurien tiedostojen lataamiselle. Haitallinen linkki voi esimerkiksi saada laitteen lataamaan automaattisesti suuriakin tiedostoja, jolloin laitteen akku ja muisti kärsivät.

Vastaanottajan päässä esikatseluosioita muodostivat Reddit ja toinen sovellus, jonka nimeä ei vielä ole paljastettu. Molemmat ovat kuitenkin luvanneet korjata ongelman, ja Reddit on sen jo tehnyt.

Sen sijaan WhatsApp, iMessage, Signal ja Viber muodostavat esikatseluosion lähettävän tahon päässä. Tämä suojaa ainakin vastaanottavaa tahoa turhilta linkin avaamisilta.

On myös sovelluksia kuten Threema, TikTok ja WeChat, jotka eivät muodosta esikatseluita ollenkaan. Myös Signalissa on mahdollisuus poistaa esikatselutoiminto käytöstä.

LÄHDE: TIVI/Sonia Savonen 27.10.2020