Un nuevo informe de seguridad indica que las vistas previas de enlaces compartidas en aplicaciones de chat pueden causar "problemas de privacidad graves si no se hace correctamente."
Los investigadores Talal Haj Bakry y Tommy Mysk descubrieron varios casos de aplicaciones vulnerables que estaban filtrando direcciones IP, exponer enlaces en chats cifrados de un extremo a otro, y descarga silenciosamente gigabytes de datos sin necesidad.
Los riesgos ocultos de las vistas previas de enlaces en las aplicaciones de chat
Los investigadores señalan que las vistas previas de enlaces son un gran ejemplo de cómo una función simple puede ocultar riesgos de seguridad.. Durante su investigación, el equipo encontró varios errores en la forma en que se implementa la función en aplicaciones de chat populares en Android e iOS.
El problema con las vistas previas de enlaces es que pueden contener información confidencial que solo los destinatarios deberían ver. Esta información puede ser contratos, registros médicos, u otros documentos confidenciales. En otras palabras, las aplicaciones que dependen de servidores para generar vistas previas pueden estar violando la privacidad de los usuarios, las notas de análisis.
Así, qué aplicaciones usan vistas previas de enlaces? La mayoría de las aplicaciones de chat usan esos, ya que la función facilita la visualización de una vista previa visual y una breve descripción del enlace. algunas aplicaciones, como Signal permite a los usuarios activar o desactivar las vistas previas de enlaces. Otras aplicaciones, como WeChat y Tik Tok no genere una vista previa del enlace. Las aplicaciones que usan vistas previas de enlaces las habilitan de dos maneras: en el extremo del remitente o del destinatario o a través de un servidor externo que se envía de vuelta a ambos lados del chat..
Las vistas previas de enlaces del lado del remitente se implementan en Apple iMessage, Señal (cuando está habilitado), Viber, y WhatsApp. Estos funcionan descargando el enlace, crear una imagen de vista previa y un resumen, y enviándolo al destinatario en forma de archivo adjunto. Cuando el otro usuario recibe la vista previa, muestra ese mensaje sin necesidad de abrir el enlace.
De esta manera, el usuario está protegido de enlaces sospechosos. Por otra parte, Las vistas previas de enlaces del lado del destinatario podrían permitir a los actores de amenazas medir la ubicación aproximada del usuario. Esto puede suceder sin ninguna acción por parte del receptor.; Todo lo que debe hacerse es enviar un enlace a un servidor controlado por el actor de la amenaza..
Cómo es esto posible? Cuando la aplicación de chat recibe un mensaje con un enlace, abre la URL automáticamente para crear la vista previa. Sin embargo, este proceso revela la dirección IP del dispositivo en la solicitud enviada al servidor. Este problema está presente en Reddit Chat, y otra aplicación que no se ha revelado, pero está trabajando para solucionar el problema.
Hay más detalles técnicos sobre cómo las vistas previas de enlaces pueden ser una amenaza para nuestra seguridad. en el blog de los investigadores.