WhatsApp test waarschuwing voor 'verdachte links' in chats

WhatsApp heeft een functie aan zijn Android-bètaversie toegevoegd die gebruikers moet waarschuwen voor 'verdachte links'. Als iemand een dergelijke link in een chat deelt, toont de app een rood waarschuwingslabel.

Afbeelding via WABetainfo

De functie werd ontdekt door WABetainfo. De site meldt dat als WhatsApp een verdachte link detecteert er een rood waarschuwingslabel over de preview van de link wordt gelegd. Drukt de ontvanger alsnog op de koppeling, toont de chatapp een uitgebreidere waarschuwing. Zo testte WABetainfo een link met verdachte karakters, die dan ook worden genoemd in de tweede waarschuwing. Mogelijk strekt de functie zich alleen uit tot dit soort links en niet domeinen die bijvoorbeeld op een zwarte lijst staan.

Het is onduidelijk op welke manier WhatsApp links als 'verdacht' wil aanmerken. WABetainfo claimt dat het controleren van verstuurde links lokaal gebeurt en dat er geen gegevens naar de servers van WhatsApp worden gestuurd. De site meldt verder dat de functie nog in ontwikkeling is en dat er in de toekomst wellicht nog wijzigingen worden doorgevoerd, zoals een mogelijkheid om handmatig verdachte links te melden.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 06-07-2018 17:15
42 • submitter: AnonymousWP

06-07-2018 • 17:15

42 Linkedin

Submitter: AnonymousWP

Lees meer

WhatsApp detecteert verdachte links en toont afbeeldingen in notificaties op iOS Nieuws van 4 september 2018
WhatsApp brengt functie voor groepsbellen met vier personen uit Nieuws van 31 juli 2018
WhatsApp komt met app voor goedkope telefoons met KaiOS Nieuws van 5 juli 2018
WhatsApp stuurt advocaat af op apps die chatnotificaties gebruiken in eigen apps Nieuws van 5 juli 2018
Nieuwe WhatsApp-functie laat alleen beheerders berichten sturen in groep Nieuws van 1 juli 2018
WhatsApp voegt meer functionaliteit toe aan groepsgesprekken Nieuws van 15 mei 2018
Meer producten en artikelen
Smartphones Whatsapp

Reacties (42)

-Moderatie-faq
42
42
33
1
0
4
Wijzig sortering
Amped
6 juli 2018 17:26
En wat zouden dan verdachte karakters kunnen zijn?
Eluminate
@Amped6 juli 2018 17:31
Probeer maar eens naar www . twеakers . net te gaan

in dit geval is de "e" eigenlijk "е". Lijkt op elkaar, maar is niet hetzelfde.

Zie ook: https://www.unicode.org/P...ty/latest/confusables.txt

[Reactie gewijzigd door Eluminate op 6 juli 2018 17:32]

darknessblade
@Eluminate6 juli 2018 17:36
moest wel effe kijken maar zag toch het verschil na een G-search.

als je er naar kijkt zit weinig tot geen verschil maar get zijn wel 2 verschillende symbolen.

gelukkig heb je op de pc er weinig last van gezien je 1 van de 2 niet kan typen zonder alt-codes.
maar voor scam links die worden gegenereerd is het wel simpeler
crizyz
@darknessblade6 juli 2018 22:25
Hoezo heb je er op de pc weinig last van? Op de pc kun je ook op een link klikken. Of heb je die unicode.org link van @Eluminate overgetypt?
satoer
@Eluminate8 juli 2018 10:57
Als je jouw versie van twеakers googled, krijg je zelfs slechts 1 hit. En dat is dit bericht :o
https://www.google.com/search?q=twеakers
x3rius
@Eluminate7 juli 2018 00:17
Waarom kunnen dit soort tekens dan niet geblockt worden?
ATS
@x3rius7 juli 2018 09:26
Omdat het geldige urls kunnen zijn in landen/taalgebieden waar een niet-westerse karakterset gebruikt wordt.

De vraag moet wellicht zijn: waarom is het vermengen van karakters uit verschillende sets toegestaan, en zou het mogelijk zijn hier regels voor op te stellen (wel cijfers bijvoorbeeld, maar geen gebruik van letters bij elkaar uit sets die normaal niet samen gebruikt worden. )
Henk Poley
@ATS8 juli 2018 09:01
Ook het vermengen van karaktersets wordt veelvuldig gebruikt in bedrijfsnamen in Aziatische landen. Net als dat hier Engelse woorden al decennia lekker hip klinken, doen ze dat daar ook om extra op te vallen. Dus dat verbieden zorgt ook voor extra problemen.
tom.cx
@Amped6 juli 2018 17:31
Ik denk dat je deze karakters kan toestaan
$ - _ . + ! * ' ( ) ,

Dit zouden de wat meer verdachte karakters kunne zijn denk ik
> < " # % { } | \ ^ ~ [ ] `)

Maar jammer dat er bijv. niet gebruik wordt gemaakt van virustotal.com door whatsapp of Google Pagesafe (ben de naam even kwijt). Dan kan je al behoorlijk wat weg filteren.

[Reactie gewijzigd door tom.cx op 6 juli 2018 17:31]

WhatsappHack
@tom.cx6 juli 2018 17:59
Dat is misschien te privacy gevoelig met oog op de encryptie omdat je dan data met de Google servers moet uitwisselen. Lokaal een lijst aanleggen/poging wagen of iets wel/niet verdacht is, is weliswaar ondermaats in vergelijking met gespecialiseerde diensten - maar het is beter dan niets en zorgt dan wel voor een stukje extra veiligheid zonder iets aan data te lekken. De link prefetch is eigenlijk al een borderline geval, maar in de meeste gevallen zal de verzender de site toch al bezocht hebben.

Maar wie weet gaan ze uiteindelijk wel gebruik maken van zo’n dienst. :) Zullen wat afwegingen over gemaakt moeten worden.

[Reactie gewijzigd door WhatsappHack op 6 juli 2018 18:00]

burne
@WhatsappHack7 juli 2018 17:00
omdat je dan data met de Google servers moet uitwisselen
Skype staat hier op de blacklist omdat als je een URL in Skype past ‘ie de uren erna bezocht wordt door een paar Skype machines en een paar anderen.

Dat Skype zelf dat doet is twijfelachtig, maar dat ze die informatie delen met derden is onacceptabel.

Da’s een reden om heel terughoudend te zijn met gebruik van dit soort features. Voor je het weet indexeert google een dev-omgeving met klantgegevens waarvan per ongeluk de firewall uitstaat. Ja, daar is meer mis, dat heb ik ze ook wel uitgelegd.

[Reactie gewijzigd door burne op 7 juli 2018 17:03]

Jism
@burne8 juli 2018 14:28
Zelfs al bij gebruik van de DNS van Google worden sites geindexeerd. Had een domein met zowel www als https (www was leeg, https stond dev op) en was binnen een uur geindexeerd. Rara.
AnonymousWP
@tom.cx6 juli 2018 17:51
Maar jammer dat er bijv. niet gebruik wordt gemaakt van virustotal.com door whatsapp of Google Pagesafe (ben de naam even kwijt). Dan kan je al behoorlijk wat weg filteren.
Fun fact: Virustotal.com is van Google ;). Dus misschien dat deze twee diensten die je noemt nu al gemerged zijn.
Eluminate
@tom.cx6 juli 2018 18:00
De karakters die je oproept zijn denk ik ook niet het probleem. Als ik je naar www. t\/\/eaker$ .net stuur, heb je denk ik wel door dat er iets niet helemaal klopt. Het probleem komt op het moment dat de karakters bijna niet van de "originele" te onderscheiden zijn zoals in het voorbeeld hierboven.
MAX3400
@tom.cx6 juli 2018 18:01
Dus \\fileserver\software$\installdir zou dan verdacht zijn? Lijkt me uitermate onhandig; elke moderne browser snapt dat deze "URL" naar een filesystem verwijst.
Djordjo
@tom.cx6 juli 2018 18:13
Maar jammer dat er bijv. niet gebruik wordt gemaakt van virustotal.com door whatsapp of Google Pagesafe (ben de naam even kwijt). Dan kan je al behoorlijk wat weg filteren.
Lijkt me lastig; door de end-to-end encryptie is de url pas 'bekend' op het apparaat zelf, lijkt me niet zo handig als het apparaat élke link laat checken bij virustotal.
ShitHappens
@tom.cx6 juli 2018 21:06
#, \ en ~ kunnen prima in heel legitieme URL's zitten. Wellicht niet in de domeinnaam, maar wel in de rest van de URL.
Zapato
6 juli 2018 18:11
WhatsApp weet dus inhoud van berichten. Of gebeurt dit zonder de inhoud te kennen?
Richh
@Zapato6 juli 2018 20:19
Je kan in de app (aka client) prima een check doen op niet-gebruikelijke karakters, daar hoeft de server verder niks mee te doen.
Mocro_Pimp®
@Richh7 juli 2018 14:40
Maar wanneer is iets niet gebruikelijk?

Een teken dat in India of Thailand of Rusland heel normaal is, is dat hier misschien helemaal niet.

Whatsapp moet imho goed oppassen voor valse positieven want met een dergelijke grote maatschappelijke rol kan een beperking van informatietoegankelijkheid gevolgen hebben.

[Reactie gewijzigd door Mocro_Pimp® op 7 juli 2018 14:40]

Richh
@Mocro_Pimp®7 juli 2018 14:42
Lijkt me niet dat dat hogere wiskunde is. Hier in West-Europa gebruiken we altijd de latin tekenset uit unicode en hier vind je een tekstbestand met tekens die daar toevalligerwijs erg op lijken https://www.unicode.org/P...ty/latest/confusables.txt

Voor iedere URL vergelijk je 'm met een selectie uit dat tekstbestand en klaar ben je.
Mocro_Pimp®
@Richh7 juli 2018 14:46
Op deze manier is een link zoals www.micro$oft.com ook verdacht.

Ik heb zelf dat domein nooit bezocht, maar het hoeft niet meteen een verdachte link te zijn, en de mogelijk compleet legitieme en eerlijke eigenaar van dat domein kan dus onterecht benadeeld worden.
Richh
@Mocro_Pimp®7 juli 2018 14:48
Dat is ook een verdachte link. Als jij doelbewust je URL wil laten lijken op iets wat het eigenlijk niet is, dan is dat verwacht.

Het is overigens slechts een waarschuwing wat WA hier geeft, die je gewoon weg kan klikken.
AnonymousWP
@Zapato6 juli 2018 18:31
De app zelf ja, maar de servers niet. De app zelf regelt ook de berichten en encrypt ze ook, dus het is heel goed mogelijk. Wordt dus allemaal lokaal gedaan.
MiesvanderLippe
@Zapato6 juli 2018 19:03
Dit gaat volgens mij vooral om domeinen die non-alphanumerieke karakters bevatten. Hiermee waren een paar voorvallen het afgelopen jaar. Echter, het is ook prima te doen om de app af en toe een blocklist op te laten halen.
Jism
@Zapato8 juli 2018 14:30
Dat kan al jaren, als de overheid er maar naar vraagt.
botneet
6 juli 2018 17:45
Ik ben ook zeer benieuwd hoe ze de lijst met foutieve links gaan samenstellen.

De meeste links die ik toegestuurd heb gekregen waren voor mij direct herkenbaar aan teksten als gefeliciteerd u heeft €500 gewonnen. Gelukkig komt het maar weinig voor, in ieder geval mijn contacten sturen me aardig weinig gevaarlijke links toe.
MiesvanderLippe
@botneet6 juli 2018 17:56
Lijsten met malware domains worden gewoon bijgehouden door allerlei bedrijven en groepen. Is handig in bedrijfsnetwerken. Ik heb er ook eentje in m’n PiHole zitten.
AnonymousWP
@MiesvanderLippe6 juli 2018 18:00
@botneet Jep, deze bijvoorbeeld:
botneet
@AnonymousWP6 juli 2018 19:11
Bedankt, met zulke lists zou je denk ik toch behoorlijk wat onwetende mensen kunnen behoeden voor crap, als dit automatisch wordt gehiglight in whatsapp o.i.d. :*)
Tiswinnie
6 juli 2018 22:00
Momenteel lijkt dit een "overbodige" functie te zijn, zeker als je kijkt naar hoe Whatsapp in Nederland wordt gebruikt. Echter verwacht ik dat dit in de toekomst een handige feature zal zijn, door het "veilige" gevoel dat een groot deel van de gebruikers heeft.

Ik denk dat op den duur er steeds meer bedrijven gebruik maken van Whatsapp. Hoe dit precies vorm gaat hebben durf ik niet te zeggen, de pilots lopen momenteel nog. Maar hierdoor zullen er uiteindelijk ook veel meer phishing aanvallen plaats vinden via Whatsapp, waarbij men zich voordoet als bedrijf 'x'. Typjes zoals jij en ik zullen er wellicht niet intrappen, maar er zijn veel ouderen waarbij dit (nu al) wel lukt. De controle door Whatsapp, zal hopelijk het gevolg hebben dat dit veel minder vaak lukt/voorkomt.
crizyz
@Tiswinnie6 juli 2018 22:39
Ik heb een vrij beperkte kennissenkring, maar heb zo'n bericht toch al drie of vier keer voorbij zien komen.
Tiswinnie
@crizyz6 juli 2018 23:09
Dat geloof ik best. Als ik kijk naar mijn kenniskring merk ik dat zij veel last hebben van phishing dmv email en telefonie(personen die contact opnemen namens een bedrijf). Ik kan me voorstellen dat ze nu al gebruik maken van Whatsapp, wat het dus nog zorgwekkender maakt.
Anoniem: 63672
6 juli 2018 19:09
Ik hoop van harte dat er een opt-out optie bijzit, want ik wil niet met ieder 'raar' linkje wat ik binnen krijg, door WA laten bepalen of het verdacht is of niet.

Goed voor de non-tweaker-user, maar een beetje weldenkend mens klikt niet op wazige linkjes.
Ik houd graag zelf in de hand of ik zo'n melding wel of niet in beeld wil hebben telkens.
Richh
@Anoniem: 636726 juli 2018 20:23
Je reactie is een beetje overtrokken. Er wordt hier nergens een vergelijking gemaakt met een blacklist ofzoiets. De check zit op karakters uit andere taalboeken die beide in unicode zitten en ontzettend op elkaar lijken - maar door systemen niet als hetzelfde worden behandeld.

https://www.unicode.org/P...ty/latest/confusables.txt en zoek in dit tekstbestand eens naar 'latin capital letter' hoeveel van dit soort dubbelingen er bestaan.
crizyz
@Anoniem: 636726 juli 2018 22:36
Dan klik je toch gewoon op 'open link'?
SLC
6 juli 2018 17:26
Gisteren bleek een "verdachte link" in de politiek uiteindelijk gewoon een publiek gemaakte App te zijn.
PvdA dubbelfaal gisteren: Ploumen die publiek appt en een veroorzaker van ruim 400 niet afgestudeerden die maar niet wil opstappen vanwege 2 lucratieve graai baantjes.

""Ploumen zegt ‘geen idee’ te hebben hoe het bericht openbaar werd geplaatst – de partij gaat dat uitzoeken. Daar werd het opgemerkt door een verslaggever van De Groene. ,,Er is technisch iets fout gegaan. Ik snap er echt niks van. Ik vind het ontzettend rot dat het zo de wereld over gaat”, zei Ploumen in een toelichting.""
SouLLeSSportal
@SLC6 juli 2018 17:30
Ik zou niet weten hoe je dat als toch voor jezelf kunnen denkend persoon(verwacht ik toch enigszins van iemand in de politiek) als je status zet ipv als een bericht. Dit lijkt mij gewoon een stukje tactiek om die kerel even uit de partij te wippen zodat dat smetje weer uit de rangen is verwijderd.

Daarnaast komen die links bij mij zo weinig voor, lees niet, dat ik er ongetwijfeld alleen maar gedoe mee heb met eigen links die wil sturen.

[Reactie gewijzigd door SouLLeSSportal op 6 juli 2018 17:31]

LocK_Out
7 juli 2018 21:34
Ik weet het, min me maar kapot i.v.m offtopic. Maar wordt hier gek van.
Laat ze eerst die "sensor Wakelock" maar eens fixen. Kan Whatsapp niet actief laten draaien, omdat ie dan de "BMA255 accelo" sensor actief houdt.
LNDN
@LocK_Out8 juli 2018 15:40
Ik weet het, min me maar kapot i.v.m offtopic. Maar wordt hier gek van.
Laat ze eerst die "sensor Wakelock" maar eens fixen. Kan Whatsapp niet actief laten draaien, omdat ie dan de "BMA255 accelo" sensor actief houdt.
Ligt echt aan jou smartphone hoor. Ik vind het sws raar dat een berichtapp de tel wakker houdt door de acceleration sensor te gebruiken.
LocK_Out
@LNDN8 juli 2018 16:26
GSAM geeft toch echt aan dat Whatsapp de veroorzaker is..
LNDN
8 juli 2018 23:55
Wat een schijnheilige lijers zijn ze bij Whatsapp zeg. Eerst sneaky zogenaamde links scannen en dan ads invoeren. Ik kan niet wachten tot ze het vpn gedoe fixen in Android P en ik me adblock weer aan kan gooien zonder te moeten rooten. (En ja, ik heb destijds Whatsapp gekocht.)

[Reactie gewijzigd door LNDN op 9 juli 2018 00:15]

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee