Peneliti keamanan baru-baru ini mengungkapkan risiko keamanan baru terkait dengan pratinjau tautan di aplikasi perpesanan populer yang menyebabkan layanan membocorkan alamat IP, mengekspos tautan yang dikirim melalui obrolan terenkripsi secara end-to-end, dan bahkan mengunduh gigabyte data secara diam-diam di latar belakang.
“Tautan yang dibagikan dalam obrolan mungkin berisi informasi pribadi yang ditujukan hanya untuk penerima,” kata peneliti Talal Haj Bakry dan Tommy Mysk. “Ini bisa berupa tagihan, kontrak, catatan medis, atau apa pun yang mungkin bersifat rahasia.”
“Aplikasi yang mengandalkan server untuk menghasilkan pratinjau tautan mungkin melanggar privasi penggunanya dengan mengirimkan tautan yang dibagikan dalam obrolan pribadi ke server mereka.”
Membuat Pratinjau Tautan di Sisi Pengirim/Penerima
Pratinjau tautan adalah fitur umum di sebagian besar aplikasi obrolan, membuatnya mudah untuk menampilkan pratinjau visual dan deskripsi singkat dari tautan yang dibagikan.
Meskipun aplikasi seperti Signal dan Wire memberi pengguna opsi untuk mengaktifkan/menonaktifkan pratinjau, beberapa aplikasi lain seperti Threema, TikTok, dan WeChat bahkan tidak membuat pratinjau sama sekali.
Aplikasi yang menghasilkan pratinjau melakukannya baik di sisi pengirim/penerima atau menggunakan server eksternal yang kemudian dikirim kembali ke pengirim dan penerima.
Pratinjau tautan di sisi pengirim – digunakan di Apple iMessage, Signal (jika pengaturannya aktif), Viber, dan WhatsApp – berfungsi dengan mengunduh tautan, diikuti dengan membuat gambar pratinjau dan ringkasan, yang kemudian dikirim ke penerima sebagai lampiran. Ketika aplikasi di sisi lain menerima pratinjau, itu akan menampilkan pesan tanpa membuka tautan, sehingga melindungi pengguna dari tautan berbahaya.
Sebaliknya, pratinjau tautan yang dihasilkan di sisi penerima membuka pintu ke risiko baru yang memungkinkan pelaku kejahatan untuk mengukur perkiraan lokasi mereka tanpa tindakan apa pun yang diambil oleh penerima hanya dengan mengirimkan tautan ke server di bawah kendali mereka.
Ini terjadi karena aplikasi perpesanan, setelah menerima pesan dengan tautan, akan membuka URL secara otomatis untuk membuat pratinjau dengan mengungkapkan alamat IP ponsel dalam permintaan yang dikirim ke server.
Baca Juga: “Malware Android Baru Ini Mencuri Data Dari Aplikasi Perpesanan“
Terakhir, penggunaan server eksternal untuk menghasilkan pratinjau, sementara mencegah masalah kebocoran alamat IP, menciptakan masalah baru: Apakah server yang digunakan untuk membuat pratinjau menyimpan salinan, dan jika demikian, untuk berapa lama, dan akan mereka gunakan untuk apa?
Beberapa aplikasi, termasuk Discord, Facebook Messenger, Google Hangouts, Instagram, LINE, LinkedIn, Slack, Twitter, dan Zoom, termasuk dalam kategori ini, tanpa ada indikasi bagi pengguna bahwa “server mengunduh apa pun yang mereka temukan di tautan.”
Pengujian ini mengungkapkan bahwa kecuali untuk Facebook Messenger dan Instagram, aplikasi yang lainnya memberlakukan batas 15-50 MB untuk pengunduhan file oleh masing-masing servernya. Misalnya Slack, menyimpan pratinjau dalam cache selama sekitar 30 menit.
Sedangkan Facebook Messenger dan Instagram, ditemukan mengunduh seluruh file, bahkan jika ukurannya mencapai gigabyte (seperti file 2,6GB), yang menurut Facebook itu adalah fitur.
Meski begitu, para peneliti memperingatkan, ini bisa menjadi “mimpi buruk privasi” jika server menyimpan salinannya dan “pernah ada pelanggaran data dari server ini.”
Terlebih lagi, meskipun fitur enkripsi end-to-end (E2EE) LINE dirancang untuk mencegah pihak ketiga menguping percakapan, ketergantungan aplikasi pada server eksternal untuk menghasilkan pratinjau tautan memungkinkan “server LINE [untuk] mengetahui semua tentang tautan yang dikirim melalui aplikasi, dan siapa yang berbagi tautan mana ke siapa.”
LINK sejak itu memperbarui FAQ-nya untuk mencerminkan bahwa “untuk menghasilkan pratinjau URL, tautan yang dibagikan dalam obrolan juga dikirim ke server LINE.”
Dalam kasus terpisah, para peneliti juga menemukan kemungkinan untuk mengeksekusi kode berbahaya server pratinjau, menghasilkan tautan kode JavaScript yang dibagikan di Instagram atau LinkedIn yang menyebabkan server mereka menjalankan kode.
“Kami menguji ini dengan mengirimkan tautan situs web yang berisi kode JavaScript yang hanya melakukan panggilan balik ke server kami,” kata mereka. “Kami dapat mengonfirmasi bahwa kami memiliki waktu setidaknya 20 detik eksekusi di server ini.”
