Expertos advierten sobre riesgos de privacidad causados ​​por vistas previas de enlaces en aplicaciones de mensajería

aplicaciones de mensajería móvil

Durante el fin de semana, los investigadores de ciberseguridad revelaron nuevos riesgos de seguridad asociados con las vistas previas de enlaces en aplicaciones de mensajería populares que hacen que los servicios filtren direcciones IP, expongan enlaces enviados a través de chats cifrados de extremo a extremo e incluso descarguen gigabytes de datos de forma sigilosa e innecesaria en segundo plano.

«Los enlaces compartidos en los chats pueden contener información privada destinada solo a los destinatarios», dijeron los investigadores Talal Haj Bakry y Tommy Mysk.

«Esto podría ser facturas, contratos, registros médicos o cualquier cosa que pueda ser confidencial».

«Las aplicaciones que dependen de servidores para generar vistas previas de enlaces pueden estar violando la privacidad de sus usuarios al enviar enlaces compartidos en un chat privado a sus servidores».

Generación de vistas previas de enlaces en el lado del remitente/receptor

Las vistas previas de enlaces son una función común en la mayoría de las aplicaciones de chat, lo que facilita mostrar una vista previa visual y una breve descripción del enlace compartido.

Si bien las aplicaciones como Signal y Wire brindan a los usuarios la opción de activar o desactivar las vistas previas de enlaces, algunas otras, como Threema, TikTok y WeChat, no generan ninguna vista previa de enlaces.

Las aplicaciones que generan las vistas previas lo hacen en el extremo del remitente o en el extremo del destinatario o mediante un servidor externo que luego se envía de regreso tanto al remitente como al destinatario.

Las vistas previas de enlaces del lado del remitente, utilizadas en Apple iMessage, Signal (si la configuración está activada), Viber y WhatsApp de Facebook, funcionan descargando el enlace, seguido de la creación de la imagen de vista previa y el resumen, que luego se envía al destinatario como un adjunto archivo. Cuando la aplicación en el otro extremo recibe la vista previa, muestra el mensaje sin abrir el enlace, protegiendo así al usuario de enlaces maliciosos.

«Este enfoque supone que quienquiera que envíe el enlace debe confiar en él, ya que será la aplicación del remitente la que tendrá que abrir el enlace», dijeron los investigadores.

https://www.youtube.com/watch?v=8he1xMhsxX4

Por el contrario, las vistas previas de enlaces generadas en el lado del destinatario abren la puerta a nuevos riesgos que permiten a un mal actor medir su ubicación aproximada sin que el receptor realice ninguna acción, simplemente enviando un enlace a un servidor bajo su control.

Esto sucede porque la aplicación de mensajería, al recibir un mensaje con un enlace, abre la URL automáticamente para crear la vista previa al revelar la dirección IP del teléfono en la solicitud enviada al servidor.

Se descubrió que Reddit Chat y una aplicación no revelada, que está «en proceso de solucionar el problema», siguen este enfoque, según los investigadores.

Uso de un servidor externo para generar vistas previas de enlaces

Por último, el uso de un servidor externo para generar vistas previas, al mismo tiempo que evita el problema de la fuga de direcciones IP, crea nuevos problemas: ¿El servidor utilizado para generar la vista previa conserva una copia y, de ser así, durante cuánto tiempo y para qué la usan? ¿por?

aplicaciones de mensajería móvil

Varias aplicaciones, incluidas Discord, Facebook Messenger, Google Hangouts, Instagram, LINE, LinkedIn, Slack, Twitter y Zoom, entran en esta categoría, sin indicar a los usuarios que «los servidores están descargando todo lo que encuentran en un enlace».

La prueba de estas aplicaciones reveló que, a excepción de Facebook Messenger e Instagram, todas las demás establecieron un límite de 15 a 50 MB en lo que respecta a los archivos descargados por sus respectivos servidores. Slack, por ejemplo, almacena en caché las vistas previas de enlaces durante unos 30 minutos.

Se descubrió que los valores atípicos, Facebook Messenger e Instagram, descargaban archivos completos, incluso si tenían un tamaño de gigabytes (como un archivo de 2,6 GB), que según Facebook, es una característica prevista.

Incluso entonces, advierten los investigadores, esto podría ser una «pesadilla de privacidad» si los servidores retienen una copia y «alguna vez hay una violación de datos de estos servidores».

Además, a pesar de la función de cifrado de extremo a extremo (E2EE) de LINE diseñada para evitar que terceros espíen conversaciones, la dependencia de la aplicación de un servidor externo para generar vistas previas de enlaces permite que «los servidores de LINE [to] Conozca todo sobre los enlaces que se envían a través de la aplicación y quién comparte qué enlaces con quién».

Desde entonces, LINK ha actualizado sus preguntas frecuentes para reflejar que «para generar vistas previas de URL, los enlaces compartidos en los chats también se envían a los servidores de LINE».

En otro caso, los investigadores también descubrieron que era posible ejecutar código malicioso en servidores de vista previa de enlaces, lo que resultaba en un enlace de código JavaScript compartido en Instagram o LinkedIn para hacer que sus servidores ejecutaran el código.

https://www.youtube.com/watch?v=IyTxNHy1Wd0

«Probamos esto enviando un enlace a un sitio web en nuestro servidor que contenía un código JavaScript que simplemente devolvía la llamada a nuestro servidor», dijeron. «Pudimos confirmar que teníamos al menos 20 segundos de tiempo de ejecución en estos servidores».

Tener en cuenta las implicaciones de privacidad y seguridad

Bakry y Mysk han expuesto previamente fallas en TikTok que hicieron posible que los atacantes mostraran videos falsificados, incluidos los de cuentas verificadas, al redirigir la aplicación a un servidor falso que aloja una colección de videos falsificados. A principios de marzo, el dúo también descubrió una inquietante captura de privacidad por parte de más de cuatro docenas de aplicaciones de iOS que accedieron a los «portapapeles» de los usuarios sin el permiso explícito de los usuarios.

El desarrollo llevó a Apple a introducir una nueva configuración en iOS 14 que alerta a los usuarios cada vez que una aplicación intenta copiar información del portapapeles, además de agregar un nuevo permiso que protege el portapapeles del acceso injustificado por parte de aplicaciones de terceros.

«Creemos que hay una gran conclusión para los desarrolladores: cada vez que esté creando una nueva función, siempre tenga en cuenta qué tipo de implicaciones de privacidad y seguridad puede tener, especialmente si esta función será utilizada por miles o incluso millones de Gente alrededor del mundo. «

«Las vistas previas de enlaces son una buena función de la que los usuarios generalmente se benefician, pero aquí y hemos mostrado la amplia gama de problemas que esta función puede tener cuando las preocupaciones de privacidad y seguridad no se consideran cuidadosamente».

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática