Η Apple ενδέχεται να χρειαστεί να τελειοποιήσει το χαρακτηριστικό προεπισκόπησης συνδέσμου, το οποίο η εταιρεία πρόσθεσε στο iMessage στα iOS 10 και macOS 10.12, που κυκλοφόρησε πριν από δύο εβδομάδες, μέσα στο Σεπτέμβριο.
Σύμφωνα με τον Ross McKillop, αυτό το νέο χαρακτηριστικό περιέχει ένα bug διαρροής πληροφοριών που επιτρέπει σε έναν εισβολέα να μάθει την IP διεύθυνση ενός iMessage χρήστη, την έκδοση του λειτουργικού συστήματος, καθώς και τις λεπτομέρειες της συσκευής.
Οι προεπισκοπήσεις συνδέσμων είναι οι μικρές κάρτες περιεχομένου που εμφανίζονται κάθε φορά που πληκτρολογείτε και μοιράζεστε μια διεύθυνση URL σε ένα παράθυρο συνομιλίας. Οι IM υπηρεσίες όπως τα Facebook, Twitter, Skype ή Slack παρέχουν, επίσης, αυτή τη δυνατότητα, η οποία μπορεί να είναι αρκετά βολική, προσφέροντας μια προεπισκόπηση του τι περιέχει ο σύνδεσμος, χωρίς να χρειάζεται να εγκαταλείψεις την IM εφαρμογή.
Για τις προαναφερόμενες υπηρεσίες, κάθε φορά που ένας χρήστης μοιράζεται ένα δεσμό με ένα πρόσωπο που συνομιλεί, η υπηρεσία σαρώνει τον σύνδεσμο, αποκτά πρόσβαση στο URL, ανακτά τα δεδομένα που απαιτούνται για μια προεπισκόπηση (σελίδα τίτλου, περιγραφή σελίδας, μικρογραφία εικόνας) και ενσωματώνει τα δεδομένα στο εσωτερικό παράθυρο συνομιλίας του χρήστη, όταν είναι διαθέσιμα.
Όλες αυτές οι εργασίες διενεργούνται από τους διακομιστές της υπηρεσίας άμεσων μηνυμάτων και μόνο η διεύθυνση IP του server είναι εκτεθειμένη κατά την υποβολή του request για την ανάκτηση του περιεχομένου προεπισκόπησης συνδέσμου.
Ο McKillop λέει ότι αυτή η περίπτωση δεν αφορά το iMessage, το οποίο εκτελεί αυτά τα queries από τη συσκευή του χρήστη.
Σε ένα πολύ πιθανό σενάριο επίθεσης, ένας παράγοντας απειλή ή ένας spammer μπορεί να στείλει σ’ ένα θύμα έναν σύνδεσμο για μια ιστοσελίδα που ελέγχει.
Όταν ο χρήστης ανοίγει το iMessage για να δει το μήνυμα, ακόμα και αν ποτέ δεν κάνει κλικ στο σύνδεσμο και δεν αποκτήσει πρόσβαση σε αυτόν, το iMessage θα συνδεθεί με το URL αυτόματα και θα ανακτήσει τα απαραίτητα στοιχεία προεπισκόπησης.
Ο διακομιστής του εισβολέα θα συλλέγει προσωπικά στοιχεία για κάθε χρήστη, στον οποίο ο επιτιθέμενος θα στέλνει έναν σύνδεσμο μέσω iMessage. Αυτά τα δεδομένα είναι σημαντικά και η έκθεσή τους μπορεί να έχει ολέθριες συνέπειες.
Για παράδειγμα, ένας έθνος-κράτος παράγοντας θα μπορούσε να μάθει τη διεύθυνση IP του στόχου και να αποκτήσει μια γενική ιδέα για τη γεωγραφική θέση του θύματος, τον ISP πάροχο και ακόμη και το πραγματικό όνομα του στόχου.
Περαιτέρω, ένας spammer θα μπορούσε να χρησιμοποιήσει τις πληροφορίες που συλλέγει για να οργανώσει τις μελλοντικές του επιθέσεις και να στείλει spam ή spear-phishing μηνύματα στην τοπική γλώσσα του χρήστη ή να τελειοποιηθεί σε σχέση με τις κινητές ή επιτραπέζιες (desktop) συσκευές, με βάση τα στοιχεία της συσκευής του χρήστη που εκτίθενται από το iMessage.
Δεδομένου ότι δεν υπάρχει καμία αλληλεπίδραση του χρήστη που να απαιτείται για την εκμετάλλευση αυτού του ελαττώματος, η επίθεση είναι ασήμαντη και διαθέσιμη σε οποιονδήποτε φορέα απειλή. Επιπλέον, το iMessage δεν έχει άλλη επιλογή που να επιτρέπει στους χρήστες να απενεργοποιήσουν την προεπισκόπηση συνδέσμου, ούτε σε iOS συσκευές ή macOS.
Ο McKillop λέει ότι η Apple μπορεί να διορθώσει αυτό το ζήτημα με δύο τρόπους. Ο πρώτος είναι να αναζητά τα δεδομένα προεπισκόπησης συνδέσμου χρησιμοποιώντας τους δικούς της διακομιστές και στη συνέχεια, να τοποθετήσει τα δεδομένα προεπισκόπησης μέσα στο iMessage, ακριβώς όπως και οι άλλες υπηρεσίες άμεσων μηνυμάτων.
Ο δεύτερος τρόπος είναι πιο έξυπνος και δεν «υποχρεώνει» την Apple να στήσει επιπλέον servers. Ο McKillop λέει ότι η Apple μπορεί να ενημερώσει το iMessage, έτσι ώστε η προεπισκόπηση συνδέσμων να ανακτάται από τη συσκευή του αποστολέα, και στη συνέχεια, να ενσωματωθεί ως μετα-δεδομένα στο εσωτερικό του σταλθέντος μηνύματος. Σε αυτήν την περίπτωση, οι εισβολείς θα συλλέγουν τα δεδομένα στις δικές τους συσκευές.