Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 73 reacties
Submitter: Rafe

Het Britse beveiligingsbedrijf The Antisocial Engineer meldt dat iMessage sinds een update de links in sms-berichten automatisch laadt met een preview. Hierdoor zou het mogelijk zijn via een bericht gevoelige informatie te achterhalen, bijvoorbeeld het ip-adres van de gebruiker.

Normaal gesproken moet een gebruiker eerst zelf op de koppeling klikken, maar dat is volgens het bedrijf sinds de update niet meer nodig. Daardoor zou Apple gebruikers de keuze ontnemen om wel of niet op een link te klikken. Een aanvaller kan een dergelijke link gebruiken om waardevolle informatie voor een gerichte phishing-aanval te verzamelen. Zo kan hij bijvoorbeeld het browsertype van de iMessage-gebruiker achterhalen.

Het bedrijf geeft wel te kennen dat deze informatie niet veel waarde heeft, omdat de meeste iMessage-gebruikers Safari als browser hebben. Hetzelfde geldt voor informatie over het toesteltype, die ook op andere manieren te achterhalen is. Waar het de onderzoekers van het bedrijf echter om gaat, is dat het ip-adres te achterhalen is, zolang het toestel niet gebruikmaakt van wifi. Aan de hand daarvan kan een aanvaller dan weer de provider achterhalen.

Het ip-adres maakt de gebruiker ook kwetsbaar voor een zogenaamde sim swap fraud, waarmee kwaadwillenden een telefoonnummer zouden kunnen overnemen. Is het toestel verbonden met wifi, dan kan een aanvaller aanvullende informatie achterhalen aan de hand van het thuis-ip-adres, zoals een inschatting van de locatie en informatie over de provider van de gebruiker, zo stelt het bedrijf.

Moderatie-faq Wijzig weergave

Reacties (73)

Ach, elk programma heeft wel iets, alles is wel te kraken. Ik heb niets te verbergen, dus het maakt mij niet uit wat ze van me lezen. Een beetje normaal persoon stuurt bijv. geen bankgegevens en pincodes via berichten dus.

Ik zal het anders verwoorden voordat de flameposts komen:
Dat wat ik verzend via welke applicatie dan ook, daar staat niets in wat jullie hier niet mogen weten. Ik maak verder gen gebruik van Telebankieren, ik heb geen naaktfotos dus helaas ;)

Er bestaat altijd nog zoiets als verantwoordelijk gebruik maken van het Internet.

[Reactie gewijzigd door Macboe op 11 oktober 2016 09:11]

Heb je het artikel dan niet gelezen? Men kan hiermee jouw locatie achterhalen. Mensen die je kennen en dit doen zullen dus ten allen tijden weten waar je je bevindt door deze security issue en je vind dat ok? Echt?
Dat is veel te moeilijk. Plaats gewoon 's nachts een tracker onder je wagen, en men kan je de hele dag volgen. En geen enkele autofabrikant die deze veiligheidslek dicht hé.
Er is echter een groot verschil: de kosten en effort die gemoeid zijn met een tracker onder de auto van elke automobilist plaatsen, maken deze vorm van datamining erg onpraktisch. Ik kan me niet voorstellen dat je dat op een winstgevende manier kunt doen.

Echter, willekeurige gebruikers een linkje sturen kost niets. Dat hele systeem kun je in een paar uur opzetten en zo vaak hergebruiken als je wilt. Al verkoop je de gegevens van een gebruiker maar voor één eurocent, dat kun je al snel winstgevend doen.

Mensen roepen vaak dat ze niets te verbergen hebben als een soort verdediging wanneer ze er achter dit soort privacyproblemen komen, echter is er niemand die zomaar vrijwillig zijn persoonsgegevens, locatiegegevens en what not openbaar op internet zet. Blijkbaar is er dus toch een reden waarom we dat graag privé houden.

Internet-criminelen houden zich niet aan de wet bescherming persoonsgegevens. Je ziet vaak hele database dumps online verschijnen, vaak niet eens door de persoon die ze gemaakt heeft. Als je gegevens gelekt zijn kun je er net zo goed vanuit gaan dat het allemaal openbare informatie is.

[Reactie gewijzigd door Laloeka op 11 oktober 2016 10:48]

echter is er niemand die zomaar vrijwillig zijn persoonsgegevens, locatiegegevens en what not openbaar op internet zet.
Zei de man die zijn volledige naam in het tweakers.net profiel invulde en hiermee samen met zijn profielfoto gelinkt wordt aan zijn twitter, linkedin, youtube, stackoverflow, github. ;)

Ik denk dat de privacy van mensen kwetsbaarder is door hun eigen handelingen dan door een klein detail zoals dit foutje in iMessage.
En je denkt dat dit niet via een Facebook, Instagram, WhatsApp, Pokemon Go, wat dan ook kan? Zolang je telefoon GPS en Internet heeft, kan iedereen zien waar je bent. Ik snap de ophef niet.
Volgens deze beredenering mag een inbreker je huis binnen komen omdat familie dat ook mag. Ik denk dat je nog eens goed moet nadenken over de implicaties van wat je nu zegt.

Je geeft aan dat je niet aan internetbankieren doet.. Verrassing: de rest van de wereld doet dit wel.

Als je geen onderscheid kunt maken tussen gegevens die je wel en niet privé wilt houden, of als je die grens denkt de kunnen leggen waar de offline- en online wereld elkaar raken, ben je zo'n 60 jaar te laat geboren ben ik bang. Tegenwoordig is er maar weinig dat niet digitaal gebeurt. En de meerderheid van je persoonlijke gegevens zijn voor een ander net zo veel waard als voor jou. Hoe denk je anders dat een bedrijf als Facebook winst maakt op het hosten van jouw familiefoto's?

[Reactie gewijzigd door Laloeka op 11 oktober 2016 10:56]

Wanneer je facebook opstart kies je er zelf voor om informatie te delen. Wanneer iemand jouw een bericht stuurt en die persoon kan daar informatie uithalen (dankzij de prefetch) dan heb je er niet voor gekozen om die informatie te delen maar geef je wel informatie die kan misbruikt worden.
Oke, wat is je naam, geslacht, IP-adres, leeftijd, mailadres en waar werk je?
Wat is je geloof, op welke partij heb je gestemd en wat heb je gestudeerd?

Als je toch niets te verbergen hebt, kom maar op.
Dat zijn toch geen geheimen die verborgen moeten worden. De antwoorden op de helft van je vragen, vind je al in zijn profielpagina hier op Tweakers. Ik denk dat er ook veel mensen in zijn omgeving weten wat hij gestudeerd heeft. Ga jij hen het zwijgen opleggen?

Tja, en wat ga je met die gegevens hiermee doen? Verkopen aan een reclamebureau? Bespaar je die moeite. Het brengt niets op.
Nuja, met de persoonsgegevens van een persoon kun je fraude gaan plegen of deze persoon flink stalken/zwart maken.

Maar verzamel de politieke voorkeur van de hele massa...
En dan kun je praktijken a la Erdogan uitvoeren.
Ook de Duitsers hebben een tijd het geloof van mensen bijgehouden. En laten we het er over eens zijn dat de mensen op die lijsten niet zo goed gesteld was.

Losse stukjes informatie heb je natuurlijk weinig aan.
Maar hoe meer informatie van een persoon je kunt krijgen (of koppelen aan andere informatie), hoe erger het wordt.
Ik vindt dat men niet zo klakkeloos moet zijn. Als iemand mij een link stuurt, wil ik niet dat mijn telefoon deze op de achtergrond gaat openen.
En als er dan toch antwoord op wordt gegeven, ook direct maar even:
- middelnaam van je moeder
- geboortedatum
- bsn nummer

Toch niks te verbergen |:( 8)7
En geef maar meteen de naaktfoto's van je vriendin mee, want je hebt toch niets te verbergen.
Nuja, bij dat soort dingen is het duidelijk en kan het zijn dan meneer z'n vriendin er niet aan mee doet.

Mijn punt was dat een heel aantal schijnbaar "niet interessante" informatie bij elkaar opgeslagen toch best deuren opent voor misbruik.
IK (besta niet zonder privacy)
HEB (fouten gemaakt die anderen niet mogen weten)
NIKS (is veilig in handen van de overheid)
TE (vaak worden data voor andere doeleinden gebruikt)
VERBERGEN (is de enige manier om daaraan te ontkomen)
Goeie tip, boek gekocht !
Kort en bondige reactie. Bedankt voor de link :)
Je hebt niks te verbergen maar je stuurt geen bankgegevens via berichten dus je hebt wèl iets te verbergen.
Ik heb niets met die Privacyparanoide, als ze je willen pakken, doen ze dat toch. Is het niet op het internet, dan skimmen ze je wel bij de bank.

[Reactie gewijzigd door Macboe op 11 oktober 2016 08:32]

En als je dus gewoon op blijft letten hoeft dat helemaal niet te gebeuren...

Zo kan je buurman bijv wel slachtoffer raken maar houd je jezelf uit al die ellende.
Zo heel veel moeite is het toch niet?
Dus dan neem je dat maar voor lief? Uiteraard proberen bepaalde bedrijven en (overheids)diensten ons op alle mogelijke manieren te volgen, moge dat inmiddels duidelijk zijn, maar dat wil niet zeggen dat ik me daar zomaar bij neer leg. Zo kun je onder andere beginnen uBlock Origin te installeren in je browser.
En daarom keur je het maar goed?

Misdaad en terrorisme gebeurt toch, hou je toch niet tegen (niet alles in ieder geval), als ze echt willen krijgen ze het wel voor elkaar. Dus maar geen aandacht meer aan schenken dan? Virussen, malware etc, allemaal ok? Niet meer aanpakken, het is toch allemaal normaal geworden. Gaan we al je bank, loon en lening zaken doorsturen naar google en consorten, je hebt niks te verbergen, toch?

Zulke kromme redenatie ...
Ik heb niets met die Privacyparanoide
"Ik ben naïef / dom / onvoorzichtig Doorhalen wat niet van toepassing is; hooguit twee.." Okee prima, moet jij weten. Maar dat betekent nog niet dat iedereen er zo over denkt. Wat mij heeft iMessage daar dan gewoon rekening mee te houden.
Er bestaat altijd nog zoiets als verantwoordelijk gebruik maken van het Internet.
Valt het openen van elke willekeurige link die wie dan doorstuurt daar ook onder? 7(8)7
Als je van gebruikers gezond verstand verwacht, waarom dan niet van programmeurs, juist van programmeurs! Je bent daar wel heel hard met twee maten aan het meten. :X

[Reactie gewijzigd door robvanwijk op 12 oktober 2016 19:29]

Je hebt dus wel dingen te verbergen.

Alleen snap je niet hoe het werkt. Des te meer gegevens ze van je hebben, des te makkelijker is het om andere gegevens van je te achterhalen, die je liever niet deelt.

Iedereen de zegt dat ze niets te verbergen hebben, weten niet waar ze het over hebben. Ja, je kunt overdrijven met jezelf afblokken. Maar als je denkt dat je niets te verbergen hebt, ben je zeer naïef.
Plaats eens een naaktfoto online, of een rekeningafschrift van je bank, je telefoonfactuur, ... . Als je niets te verbergen hebt mag dat allemaal geen probleem zijn. Het feit dat je zelf aangeeft dat je zoiets niet verstuurd toont net aan dat je wel degelijk iets te verbergen heeft. Iedereen verbergt dingen, iedereen heeft geheimen. En bovenal: wij hebben ook recht op het hebben van die geheimen.
Uiteraard hebben mensen een eigen verantwoordelijkheid, maar die kun je alleen nemen als je goed geinformeerd bent. Daarom is dit een belangrijk nieuwsbericht. Nu mensen geinformeerd zijn kunnen ze pas beslissen om bepaalde dingen niet meer te versturen of daar een andere app voor te gebruiken.

Simpelweg dingen laten omdat ze potentieel gevaarlijk zijn lijkt me overigens geen goede oplossing. Als iedereen zo dacht zaten we nu nog met auto's zonder gordels en sex zonder voorbehoedsmiddelen. Begrijpen hoe iets werkt en werken aan verbeteringen lijkt me een betere oplossing.
Domme praat,. Dat verberg je niet, zou je wel moeten doen.
Schijnbaar kwam je daar ook achter want je heb na reacties op je bericht je bericht deels gewijzigd, dus ook wat te verbergen.

Ik heb wel wat te verbergen en wil dus niet dat als een eikel naar mijn eMail adres of telefoon nummer een link stuurt gelijk meer info weet van mij dan ik hem wil geven.
Nee, je hebt WEL wat te verbergen. Heel interessant artikel, met name voor iedereen die security wegwuift met de opmerking "ik heb toch niks te verbergen". Lees dat maar eens aandacht en denk nu nog maar eens na over je stelling.
Het is een flaw, een minimale weliswaar. Dat hele prefetch gebeuren wat o.a whatsapp & facebook dus ook doen. Je kunt een mobiele gebruiker gewoon op dikke kosten jagen met alleen al het versturen van ping of andere packets. Die worden wel door de ISP geregistreerd als verbruikte bandbreedte.
Ik vermoed dat Facebook en Whatsapp server-side "prefetchen".
Nee, dat gebeurd cliënt side
In elk geval door Whatsapp, en ook Telegram

Door end-to-end encryptie kan de server het niet.
In het geval van Whatsapp wordt er bij de verzendende partij gefetched.

Ik heb een keer gekeken op m'n privéwebservertje wat er allemaal wordt meegestuurd in de headers. Het komt er in een notendop op neer dat de hoster kan dus zien dat jij op jouw IP-adres op dat moment Whatsapp gebruikt.

De ontvanger deed op dat moment geen query naar m'n webserver. Dus het potentiele "privacy-probleem" (als je het zo wil noemen) ligt bij de verzender en niet de ontvanger.
In het geval van Whatsapp wordt er bij de verzendende partij gefetched.
Dit is wat mij betreft de enige juiste manier. Pre-fetchen op de server kan niet, want zowel Whatsapp en iMessage gebruiken end-to-end encryptie. Pre-fetchen bij de ontvanger is ronduit gevaarlijk.

Overigens zou ik ook wel de optie willen hebben om het prefetchen (als verzender dus) uit te zetten. Vaak is de URL duidelijk genoeg, en als dat niet zo is zet ik er zelf wel een beschrijving bij.
En dat is dus geen probleem, want dat is de keuze van de verzender. Een ontvanger heeft de keuze niet.

Ik vind dit best een aanzienlijk probleem eerlijk gezegd, vooral ook omdat je geen keuze hebt.
Gedeltelijk mee eens:

Ik zie het wel als een probleem. Namelijk voor de verzender. Ik wil helemaal niet dat website A ziet dat ik op dat moment Whatsapp gebruik, domweg omdat ik een linkje opstuur. (en je domeinnaam met spaties ipv puntjes opsturen is gewoon stom :( )
Ik heb niet de keuze om dit gedrag uit te zetten in Whatsapp.
In airplane-mode gaan wanneer je de url invoert ;)

Let overigens op dat "website a" niet weet wie "ik" is. Sessiecookies vanuit een eerdere browsereessie worden zover ik kan nagaan niet meegestuurd.
Ze zien dus wel dat iemand ze vermeld in Whatsapp, maar niet wie
In het geval van Whatsapp wordt er bij de verzendende partij gefetched.
En wat als de inhoud tussentijds verandert? Stel ik een maak een legitieme website. Ik verstuur de url naar iemand en direct daarna switch ik de website om naar een malafide website. Tja, leuke preview dan.
Waarom uberhaubt om switchen? Je kan de preview van de malafide site net zo goed echt laten lijken :P
En hoe is dat erger dan een link zonder preview...? Dan weet je ook niets en hoefde je je uberhaupt niet druk te maken om een preview. M.a.w. is met dat argument een preview zelfs veiliger omdat het veel en snel handmatig werk vereist. (Al kan je die previews natuurlijk beïnvloeden wat er in komt te staan ;))

Het is niet veiliger noch onveiliger dan links zonder previews.
Dat klopt. Het gebeurd in de cliënt van de verzender. Waarschijnlijk precies om de redenen waar iMessage nu last van heeft.
Wanneer de ontvangende partij zou prefetchen, kun je door een link van eigen webserver te sturen, achter de ander z'n IP komen (en een rits andere data)?
Of door een groot bestand te verwerken in het gedeelte dat geladen wordt, iemand op kosten jagen?

Of is dat niet praktisch?
Precies: de server heeft de contents niet, en je wil ook niet dat de server die heeft. Dat zou een nog veel groter leak zijn.
Nope, als ontvanger krijg jij de link-preview vanuit de Telegram server aangeboden. Ik kan niet voor WhatsApp spreken, maar van Telegram weet ik dit zeker.

Dat kun je controleren door een website met random content aan Telegram te voeren. Deze link preview zal hetzelfde zijn voor alle ontvangers.
Voor zover ik weet doet de client dat bij WhatsApp, niet de server.

Echter is er bij WhatsApp ook nog een verschil. WhatsApp haalt de preview op bij *verzenden*. Als ik dit lees gaat het om *ontvangen* berichten waar een preview wordt geladen, en dat is het probleem... Je kan daardoor een link naar iemand sturen, en dan maakt de telefoon automatisch verbinding. Bij WhatsApp is het vziw het toestel van de verzender die de info ophaalt en vervolgens verstuurt. Dat maakt natuurlijk een wereld van verschil.
Het is een flaw, een minimale weliswaar. Dat hele prefetch gebeuren wat o.a whatsapp & facebook dus ook doen. Je kunt een mobiele gebruiker gewoon op dikke kosten jagen met alleen al het versturen van ping of andere packets. Die worden wel door de ISP geregistreerd als verbruikte bandbreedte.
Ik vind de mogelijke kosten een stukje minder relevant dan de mogelijke privacy-breach
Nu is een linkpreview niet heel veelzeggend, maar als basis aanval moet je ergens beginnen.

Die 'dikke kosten' zijn kb's die de ontvanger krijgt, en houden echt niet over.
Mocht je iemand op kosten willen jagen, dan zijn het wel héél veel linkjes verzenden.
( en daarbij moet je niet de appmaker aankijken, maar de zender )
Ik vind beiden al storend genoeg. Mijn vriendin heeft momenteel 1GB datalimiet per maand, hoe snel denk je dat zij er doorheen gaat door al die onzin plaatjes van d'r vriendinnen e.d.? Om over de filmpjes nog maar te zwijgen.
Ik vind beiden al storend genoeg. Mijn vriendin heeft momenteel 1GB datalimiet per maand, hoe snel denk je dat zij er doorheen gaat door al die onzin plaatjes van d'r vriendinnen e.d.? Om over de filmpjes nog maar te zwijgen.
Waar is het de schuld van de provider, OSmaker of appmaker ?
Jouw vriendin heeft alle drie die keuzes gemaakt, en de daarop aangesloten mogelijkheden.
Zelfs de vriendinnen kiest ze zelf :+
Als ze zo veel plaatjes/filmpjes ontvangt, zijn er ook mogelijkheden om die te blokkeren in de betreffende apps.
Ik krijg uit de groeps-app alleen maar media binnen als ik op wifi zit, voor de rest moet ik het eerst aanklikken voor het opgehaald gaat worden.
( vooral een sportclubje / vriendenclubje ziet soms kans om 100'en plaatjes te verzamelen in een paar uur. )
Dan zet je toch uit dat dit opgehaald wordt buiten WiFi om? :)
Al moet ik bekennen dat ik nu begin te twijfelen of dit bij iMessage wel mogelijk is...
Die 'dikke kosten' zijn kb's die de ontvanger krijgt, en houden echt niet over.
Mocht je iemand op kosten willen jagen, dan zijn het wel héél veel linkjes verzenden.
Nee hoor, eentje is genoeg. Je stuurt een unieke link (www.mijnserver.nl/unieknummer), die wordt geopend *) waarna je in je server logs kijkt wel IP-adres dat URL opgevraagd heeft. En daarna kun je net zoveel data naar dat adres sturen als je wilt. Ik vermoed dat TCP gewoon werkt (weliswaar connection oriented, maar het netwerk weet helemaal niet dat er geen connection is, dus dat wordt gewoon afgeleverd), maar anders doe je het via UDP. Alle pakketjes worden door de ontvanger gedropt, maar dan ben je te laat; het dataverbruik is al geregistreerd.

Extra probleem is dat je als slachtoffer het dataverbruik niet kunt stoppen; als je een link krijgt naar een bestand van een paar GB (zou iMessage naïef genoeg zijn om dat hele ding binnen te halen??) dan kun je de download altijd afbreken door iMessage af te sluiten.

*) In dit geval gebeurt dat openen automatisch. Als je de link onschuldig genoeg eruit kunt laten zien dat iemand er vrijwillig op klikt dan werkt de aanval echter net zo goed. In dat geval noemen we het echter geen exploit in iMessage maar juist social engineering.

[Reactie gewijzigd door robvanwijk op 12 oktober 2016 17:46]

Wauw ... echt .. overal een antwoord op ... ?
* this escalated quickly .

Het ging over de linkjes die een proview verzenden, waarop @NickVDA klaagt over het dataverbruik, waarna jij met een targetted attack komt ... ?

Blijft het relatief simpel, je zet die dingen buiten wifi gewoon uit ... je hebt de keuze, gebruik je hem niet, ligt het nog steeds aan de gebruiker en niet aan de appmaker / OS of data-aanbieder

edit :
En over niet kunnen afbreken, zeker op tcp-niveau en ipadres, mijn providers geven bij elke mobiel connect een ander IPadres uit, deze zit in een NAT omgeving, dus bij een disconnect verdwijnt de tcp/upd connect, er is nl geen portforwarding, en zal opnieuw moeten geïnitieerd worden.
Tegen die tijd heb je al een waarschuwing ( al dan niet van je provider ) dat je dataverbruik ineens zwaar is geworden.

[Reactie gewijzigd door FreshMaker op 12 oktober 2016 18:39]

Wauw ... echt .. overal een antwoord op ... ?
Hoe bedoel je, dat was (tot ik dit post) mijn enige reactie onder dit bericht!?
Het ging over de linkjes die een proview verzenden, waarop @NickVDA klaagt over het dataverbruik, waarna jij met een targetted attack komt ... ?
Jism: "Je kunt een mobiele gebruiker gewoon op dikke kosten jagen"
FreshMaker: "Die 'dikke kosten' zijn kb's die de ontvanger krijgt, en houden echt niet over."
robvanwijk: "daarna kun je net zoveel data naar dat adres sturen als je wilt"

Ik zie niet in waarom dat een onlogische of off-topic discussie is?
Blijft het relatief simpel, je zet die dingen buiten wifi gewoon uit ... je hebt de keuze, gebruik je hem niet, ligt het nog steeds aan de gebruiker en niet aan de appmaker / OS of data-aanbieder
"Dit programma doet dingen die je absoluut niet wilt, maar als je precies weet hoe alles werkt, dan is er ergens een methode om dat te voorkomen"...!?
Met zo'n instelling kunnen we alle privacyzaken tegen FB ook wel stopzetten. En jij hebt zeker ook nooit geklaagd over de manier waarop Windows 8 zichzelf vervangt door Windows 10? Apparaten (en daar vallen in dit opzicht ook programma's onder) hebben zich "redelijk" te gedragen. Je kunt er over vechten wat dat precies betekent, er is een gigantisch grijs gebied, maar sommige dingen zijn duidelijk niet acceptabel. En in 2016 ("Normaal gesproken moet een gebruiker eerst zelf op de koppeling klikken, maar dat is volgens het bedrijf sinds de update niet meer nodig.") is het zonder meer openen van elke willekeurige link absoluut niet acceptabel. Een van de redenen is de mogelijkheid tot hoog dataverbruik, een andere reden is privacy (wat in dit geval toevallig misbruikt kan worden om een onzichtbaar, absurd hoog dataverbruik te veroorzaken). Maar de TL;DR is gewoon: geen links openen tenzij de gebruiker daar expliciet om vraagt. Als je geen stomme dingen doet, dan hoeven er ook geen toelichtingen getypt te worden over hoe die blunder precies te misbruiken is.
Mwoah, valt wel mee, veel consumenten hebben geen direct IPv4 adres, maar zitten achter een NAT. Dan kun je pingen wat je wilt, maar die pakketjes komen nooit bij de enduser aan.
niet alleen hoge kosten, maar stel dat er een bug zit in safari op ios waardoor mensen malware kunnen injecteren op de telefoon, dan gebeurd het bij een niet uit te zetten preview automatisch.
Als er zo'n serieuze fout zit in Safari (welke niet gebruikt wordt voor de link previews, maargoed..), zijn het niet de link previews die het probleem vormen.

Het probleem is dat de link previews verkeerd geïmplementeerd zijn. Ze zouden vanuit de verzendende partij verstuurd moeten worden, niet door elke ontvanger opnieuw opgevraagd moeten worden.
In het artikel staat toch echt dat je de browser kan achterhalen. Zou ook niet weten hoe ze het anders doen. Onder water gebruikt iMessage gewoon de renderer van safari, mist je een andere browser hebt ingesteld.

Dus door op deze manier de previews op te maken, gebruik je altijd de locale renderer. Heeft die een bug waardoor je malware kan injecteren, dan kan dat dus ook via de preview.
Dat hele prefetch gebeuren wat o.a whatsapp & facebook dus ook doen. Je kunt een mobiele gebruiker gewoon op dikke kosten jagen met alleen al het versturen van ping of andere packets.

Dat zijn twee verschillende dingen.

Het afbeelden van links doet WhatsApp inderdaad ook.

Maar het sturen van een 'ping' staat los van je message client. Je kunt naar elk appraat een 'ping' sturen via diverse protocollen, en als je mobiele provider het niet filtert, kost dat jou geld. Gelukkig filteren veel mobiele providers inkomende data.

Wel moet je bij het sturen van een 'ping' een IP adres weten van het "slachtoffer", net zoals je bij de 'link privacy exploit' wel een SMS kunnen sturen naar het slachtoffer en dus diens adres weten. Je kunt het dus ook niet ongemerkt doen. Het slachtoffer merkt dat hij opeens SMS met links krijgt van onbekende figuren. Als je echter al het nummer weet, weet je doorgaans al de provider en dus ook veel van die data die je uit de link exploit kunt halen.

Dus erg onder de indruk ben ik er niet van, al is het inderdaad jammer dat het automatisch gebeurd.
Oplossing voor Apple is simpel,
Of uitschakelen van de preview of de preview via een proxy bij Apple laten lopen.
Bij gebruik van een proxy heeft iedereen hetzelfde IP adres en kan er dus ook niks aan herleden worden (behalve de tijd wanneer iemand een berichtje opent en de preview geladen wordt)
Uitschakelen is de beste optie. Via een proxy zorgt er weer voor dat Apple informatie krijgt over de inhoud van de berichten, en dat willen ze nu juist niet. Ze hebben niet voor niets end-to-end encryptie.
Aangezien SSL steeds meer en meer gebruikt wordt zal dat nog wel meevallen.
Probeeer jij maar eens een MitM uit te voeren met een SSL site, alleen maar certificaat errors.
Ok, de URL zelf zou voor Apple zichtbaar zijn, maar ook dat zou via een soort tinyurl.com oplossing icm een token te verhelpen zijn.
Daarbij is de preview sowieso niet encrypted door iMessage, alleen de URL die gestuurd is is encrypted door iMessage.

[Reactie gewijzigd door Goldwing1973 op 11 oktober 2016 10:05]

Het ging toch om de hypothetische vraag of Apple de eindbestemming kan achterhalen als ze als proxy fungeren?

Je vraagt dan letterlijk aan Apple of ze URL x willen ophalen voor je en dat terug te koppelen. Natuurlijk is dat dan te loggen!

[Reactie gewijzigd door watercoolertje op 11 oktober 2016 10:57]

ook een proxy kan zo ingericht worden dat Apple geen zicht heeft op de eindbestemmingen van de gebruikers onderling.
Ok, het is gebaseerd op vertrouwen dat Apple dat ook daadwerkelijk doet, maar dat is de End2end encryptie van iMessage ook (weet jij zeker dat Apple geen master key heeft?)
Uiteindelijk moet het request ergens decrypt worden namelijk om de daadwerkelijke site op te vragen. Waar zie je voor je dat dat gebeurd?
Via het IP-adres heb je meteen een (vaak onnauwkeurige) locatie van iemand. Handig hoor! Om te zien of iemand echt laat aan werk is bijvoorbeeld.
Nou nou, gevoelige informatie, dat valt wel mee hoor. Toen tweakers.net en fok.nl nog externe icoontjes toelieten trackte ik van iedereen het ip adres, de browsergegevens en wat ik er maar uit kon slepen. Hartstikke leuk was dat.

Deze "gevoelige" informatie moet je dan ook nog zien te koppelen aan een gebruiker en dan moeten je hem een iMessage sturen. Specifiek voor die gebruiker. En dan moet je dus of zijn nummer, of zijn e-mailadres hebben. Die twee gegevens lijken me een stuk gevoeliger.

Stukje paniekvoetbal dit. Alsof je triomfantelijk naar buiten brengt dat je iemands adresgegevens kan achterhalen door hem of haar naar huis te volgen. Dat is toch ook geen nieuws?

[Reactie gewijzigd door JCE op 11 oktober 2016 09:00]

Nou nou, gevoelige informatie, dat valt wel mee hoor. Toen tweakers.net en fok.nl nog externe icoontjes toelieten trackte ik van iedereen het ip adres, de browsergegevens en wat ik er maar uit kon slepen. Hartstikke leuk was dat.
Dat is in 2016 nog op veel plaatsen mogelijk. Je kan op grote fora zelfs een 1x1 pixel van statcounter.com sturen in een private message naar een gebruiker. Als deze persoon dan het bericht leest op zijn werkplek, dan heb je het ip van zijn werkgever. Dat ip adres is dan ook nog eens vaak te herleiden naar 1 specifieke werkgever.
Dat is een beetje vergelijkbaar met externe afbeeldingen in een e-mailbericht. De meeste email clients hebben nu de optie om afbeeldingen in e-mails niet automatisch in te laden. Gebruik je die optie niet, dan zou de verzender van die e-mail kunnen weten wanneer, waar, met welke browser je het e-mailbericht hebt gelezen.

[Reactie gewijzigd door biglia op 11 oktober 2016 10:00]

Sinds wanneer is een IP adres gevoelige informatie? Alle WAN adressen zijn ten alle tijden te vinden/zien/controleren, en alle LAN adressen (i.e. in de private ranges) zijn niet zo interessant om dat ze niet aan het internet geknoopt zijn.
Geen idee of het relevant is hier... Maar ik heb ook iMessage op mijn macBook... En die koppelt met mijn iPhone.
Kan me voorstellen dat als daar dezelfde functionaliteit inzit (geen idee, gebruik het niet) het toch even iets anders gaat zijn...

[Reactie gewijzigd door netfast op 11 oktober 2016 08:30]

tweakers vergeet erbij te melden wat het bedrijf aan services biedt. Ze noemen het SMShing
Early 2016 we were the first company in the UK to offer SMShing services, these SMS messages are like phishing emails and contain a pretext alongside a link within the message. When a mark receives an SMS message and clicks the link a host of details are available to us – we then report on this action for clients conscious about their security.
 
Het is dus meer dan beetje "what if's"
SMShing Explained
SMShing is a common attack method used in the wild to target companies, using targeted text messages towards staff mobile phones. These messages can be generic or a more focused ‘spear’ type message, depending on how much information is already known by the attacker.
The sender ID of any SMS can be edited to use a custom name resulting in an alarming situation where any message can be masked to appear from colleagues, managers, company names, network providers – The list of possibilities is endless.
In a real life SMS attack, usually a click through link is provided in the message, which could give those with malicious intent, browser and device information, IP addresses and locations. If you are then directed to a portal, passwords can even be obtained. A pop up box on your mobile can also be included to retrieve your iCloud password.

[Reactie gewijzigd door vali op 11 oktober 2016 08:38]

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True