Un nouveau rapport de sécurité indique que les aperçus de liens partagés dans les applications de chat peuvent provoquer "graves problèmes de confidentialité si ce n'est pas fait correctement."
Les chercheurs Talal Haj Bakry et Tommy Mysk ont découvert plusieurs cas d'applications vulnérables qui fuyaient des adresses IP, exposer des liens dans des discussions cryptées de bout en bout, et téléchargez silencieusement des gigaoctets de données sans aucun besoin.
Les risques cachés des aperçus de lien dans les applications de chat
Les chercheurs soulignent que les aperçus de liens sont un excellent exemple de la façon dont une fonctionnalité simple peut masquer les risques de sécurité. Au cours de leurs recherches, l'équipe a trouvé plusieurs bogues dans la façon dont la fonctionnalité est mise en œuvre dans les applications de chat populaires sur Android et iOS.
Le problème avec les aperçus de lien est qu'ils peuvent contenir des informations sensibles que seuls les destinataires devraient voir. Ces informations peuvent être des contrats, dossiers médicaux, ou autres documents confidentiels. En d'autres termes, les applications qui reposent sur des serveurs pour générer des aperçus peuvent enfreindre la vie privée des utilisateurs, les notes d'analyse.
Si, quelles applications utilisent les aperçus de lien? La plupart des applications de chat les utilisent, car la fonctionnalité permet d'afficher facilement un aperçu visuel et une brève description du lien. Certaines applications, tels que Signal permettent aux utilisateurs d'activer ou de désactiver les aperçus de lien. Autres applications, comme WeChat et TIC Tac ne pas générer d'aperçu de lien. Les applications utilisant des aperçus de lien les activent de deux manières: du côté de l'expéditeur ou du destinataire ou via un serveur externe qui est renvoyé aux deux côtés du chat.
Les aperçus des liens côté expéditeur sont implémentés dans Apple iMessage, Signal (lorsqu'il est activé), Viber, et WhatsApp. Ceux-ci fonctionnent en téléchargeant le lien, création d'une image d'aperçu et d'un résumé, et l'envoyer au destinataire sous forme de pièce jointe. Lorsque l'autre utilisateur reçoit l'aperçu, il montre ce message sans avoir besoin d'ouvrir le lien.
De cette façon,, l'utilisateur est protégé des liens suspects. D'autre part, Les aperçus des liens côté destinataire peuvent permettre aux acteurs de la menace de mesurer l'emplacement approximatif de l'utilisateur. Cela peut se produire sans aucune action du côté du destinataire; il suffit d'envoyer un lien vers un serveur contrôlé par l'acteur de la menace.
Comment est-ce possible? Lorsque l'application de chat reçoit un message avec un lien, il ouvre automatiquement l'URL pour créer l'aperçu. Cependant, ce processus divulgue l'adresse IP de l'appareil dans la demande envoyée au serveur. Ce problème est présent dans Reddit Chat, et une autre application qui n'a pas été divulguée mais qui s'efforce de résoudre le problème.
Plus de détails techniques sur la façon dont les aperçus de liens peuvent menacer notre sécurité sont présents dans le blog des chercheurs.