SÅRBARHETER

Apple iMessage trykker på lenkene for deg

Rene gavepakken til hackere og spammere.

Forhåndsvisning av lenker er noe iMessage fikk med oppgraderingen til iOS 10 for noen uker siden. Illustrasjonsfoto.
Forhåndsvisning av lenker er noe iMessage fikk med oppgraderingen til iOS 10 for noen uker siden. Illustrasjonsfoto. Bilde: Finn Jarle Kvalheim, Tek.no
17. okt. 2016 - 13:56

Forhåndslasting av lenker er en nyhet iMessage nylig fikk med oppgraderingen til iOS 10.

Flere advarer nå mot funksjonaliteten som gir mottakeren av meldingene en forhåndsvisning av nettadressen det lenkes til. 

Dette uten at du trenger å trykke på lenken og åpne den i nettleseren.

En tilsvarende funksjon har både Facebook, Twitter og samhandlingstjenesten Slack, for å nevne noen, men disse sørger for å laste inn forhåndsvisningen gjennom egne proxyservere.

iMessage gjør derimot dette fra klienten.

Digi.no har sjekket og kan bekrefte at mottaker-enheten laster inn lenken uten noen form for brukermedvirkning.

Lar seg ikke deaktivere

At iMessage «trykker på lenkene for deg» kan være en gavepakke til hackere og spammere, advarer Telenors sikkerhetssenter TSOC. De skriver i et nyhetsbrev:

«Dette gir angriperne mulighet til å få ut informasjon om type nettleser, telefontype og IP-adresse. Funksjonen kan i mange tilfeller brukes til å geo-lokalisere mottakeren av SMS-meldinger med bakgrunn i IP-adressen. Det er per i dag ikke noen måte å skru av denne preview-funksjonen på.»

Kan bli misbrukt

Eksponering av slike metadata kan bli misbrukt til både overvåkning og angrep. Det skrev IT News med bakgrunn i funn gjort av voip-utvikler Ross McKillop for snart to uker siden.

Det er Apples Webkit-komponent på mottakerens enhet som åpner lenken. Det betyr at forhåndslasting av lenker kan misbrukes til å angripe eventuelle sårbarheter i nettleseren. 

I et slikt potensielt scenario vil det være tilstrekkelig for en angriper å sende en melding med en lenke som leder til angrepskode, så vil denne åpnes automatisk på mottakerens telefon.

Det er uvisst om McKillop har rapportert sårbarheten til selskapet.

Digi.no har informert Apples norske pr-representant, samt selskapets nordiske presseansvarlig og bedt om en kommentar. Saken vil bli oppdatert hvis de svarer.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Har muligheten for hjemmekontor blitt den nye normalen?
Les mer
Har muligheten for hjemmekontor blitt den nye normalen?
Tekjobb
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra