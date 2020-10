Niinkin perustavanlaatuinen toiminto kuin linkkien esikatselu on monella tavalla ongelmallinen, uusi tutkimus selvittää.

Lukuisten suosittujen viestisovellusten tapa esittää jaetut verkkolinkit voi vaarantaa Android- ja iOS-käyttäjät eri tavoin, varoittavat tutkijat Talal Haj Bakry ja Tommy Mysk blogissaan. Asiasta uutisoi muun muassa 9to5Mac.

Ongelma liittyy siihen, että yleensä viestissä olevissa verkkolinkeistä esitetään vastaanottajalle esikatselu, jossa voi linkin lisäksi olla tekstiä ja kuvia verkkosivulta. Tämän esikatselunäkymän luomiseksi sovelluksen pitää ensin käydä sivulla. Tämä voidaan toteuttaa eri tavoin, ja jotkut tavat ovat tietoturvan kannalta pahempia kuin toiset.

Tutkijoiden mukaan pahinta on, jos esikatselu luodaan vastaanottajan laitteessa. Tällöin vastaanottajan sovellus avaa linkin automaattisesti, kun käyttäjä avaa viestin. Tällä tavalla pahantahtoinen toimija voi vakoilla käyttäjän ip-osoitteen ja paikallistaa hänet jopa korttelin tarkkuudella. Toinen ongelma ovat suuret tiedostot. Jos linkki osoittaa esimerkiksi videoon, huonosti koodattu sovellus saattaa yrittää ladata koko tiedoston esikatselua varten puhelinta rasittaen ja sen tilaa syöden.

Tutkijoiden tiedossa on vain kaksi viestisovellusta, jotka luovat esikatselun käyttäjän päässä. Yhtä ei nimetä, mutta toinen on Reddit ja nimenomaan sen chattiosio.

Yleisempi, mutta edelleen arveluttava tapa esikatselun synnyttämiseksi, on käyttää ulkopuolista palvelinta. Ongelma voi syntyä, kun käyttäjät jakavat toisilleen arkaluonteista sisältöä.

Esimerkiksi yksityinen Dropbox-linkki vaikkapa perheen valokuva-albumiin tai yrityksen salaiseen suunnitteluprojektiin saa palvelimen tekemään linkin sisällöstä ainakin osittaisen kopion. Siis sisällöstä, jota ei missään tapauksessa halua levittää kenellekään ulkopuoliselle, voi olla olemassa kopio jollakin palvelimella. Kysymys on, kuinka kokonainen kopio on, kauanko sitä säilytetään palvelimella ja miten hyvin palvelin on suojattu hakkereilta.

Palvelinta esikatselua varten käyttävät ainakin Discord, Facebook Messenger, Google Hangouts, Instagram, LINE, LinkedIn, Slack, Twitter ja Zoom. Palvelinten toimintatapa kuitenkin vaihtelee huomattavasti sovelluksesta toiseen.

Kolmas ja turvallisin tapa on synnyttää esikatselunäkymä jo lähettäjän laitteessa. Tällöin oletetaan, että ainakin lähettäjä luottaa linkkiinsä. Tutkijoiden testissä tällä tavalla toimivat iMessage, Signal (jos linkin esikatselu on laitettu päälle asetuksissa), Viber ja WhatsApp.

Riippumatta esikatselun toteutustavasta, ylimääräisenä vaarana nähdään verkkosivujen potentiaalisesti haitallisen koodin ajaminen esikatselun yhteydessä. Ainakin Instagram ja LinkedIn tekivät niin.

Tutkijat kertoivat havainnoistaan mainittujen sovellusten kehittäjille. Joissakin tapauksissa korjauksia on tehty, muissa tapauksissa ei.