Forhåndslasting av lenker er en nyhet iMessage nylig fikk med oppgraderingen til iOS 10.
Flere advarer nå mot funksjonaliteten som gir mottakeren av meldingene en forhåndsvisning av nettadressen det lenkes til.
Dette uten at du trenger å trykke på lenken og åpne den i nettleseren.
En tilsvarende funksjon har både Facebook, Twitter og samhandlingstjenesten Slack, for å nevne noen, men disse sørger for å laste inn forhåndsvisningen gjennom egne proxyservere.
iMessage gjør derimot dette fra klienten.
Digi.no har sjekket og kan bekrefte at mottaker-enheten laster inn lenken uten noen form for brukermedvirkning.
Lar seg ikke deaktivere
At iMessage «trykker på lenkene for deg» kan være en gavepakke til hackere og spammere, advarer Telenors sikkerhetssenter TSOC. De skriver i et nyhetsbrev:
«Dette gir angriperne mulighet til å få ut informasjon om type nettleser, telefontype og IP-adresse. Funksjonen kan i mange tilfeller brukes til å geo-lokalisere mottakeren av SMS-meldinger med bakgrunn i IP-adressen. Det er per i dag ikke noen måte å skru av denne preview-funksjonen på.»
Kan bli misbrukt
Eksponering av slike metadata kan bli misbrukt til både overvåkning og angrep. Det skrev IT News med bakgrunn i funn gjort av voip-utvikler Ross McKillop for snart to uker siden.
Det er Apples Webkit-komponent på mottakerens enhet som åpner lenken. Det betyr at forhåndslasting av lenker kan misbrukes til å angripe eventuelle sårbarheter i nettleseren.
I et slikt potensielt scenario vil det være tilstrekkelig for en angriper å sende en melding med en lenke som leder til angrepskode, så vil denne åpnes automatisk på mottakerens telefon.
Det er uvisst om McKillop har rapportert sårbarheten til selskapet.
Digi.no har informert Apples norske pr-representant, samt selskapets nordiske presseansvarlig og bedt om en kommentar. Saken vil bli oppdatert hvis de svarer.