Accueil > Nouvelles Cyber > Les aperçus de liens dans les applications de discussion présentent des risques pour la sécurité et la confidentialité des utilisateurs
CYBER NOUVELLES

Lier les aperçus dans les applications de chat posent des risques de sécurité et de confidentialité aux utilisateurs

Un nouveau rapport de sécurité indique que les aperçus de liens partagés dans les applications de chat peuvent provoquer "graves problèmes de confidentialité si ce n'est pas fait correctement."

Les chercheurs Talal Haj Bakry et Tommy Mysk ont ​​découvert plusieurs cas d'applications vulnérables qui fuyaient des adresses IP, exposer des liens dans des discussions cryptées de bout en bout, et téléchargez silencieusement des gigaoctets de données sans aucun besoin.

Les risques cachés des aperçus de lien dans les applications de chat

Les chercheurs soulignent que les aperçus de liens sont un excellent exemple de la façon dont une fonctionnalité simple peut masquer les risques de sécurité. Au cours de leurs recherches, l'équipe a trouvé plusieurs bogues dans la façon dont la fonctionnalité est mise en œuvre dans les applications de chat populaires sur Android et iOS.

Le problème avec les aperçus de lien est qu'ils peuvent contenir des informations sensibles que seuls les destinataires devraient voir. Ces informations peuvent être des contrats, dossiers médicaux, ou autres documents confidentiels. En d'autres termes, les applications qui reposent sur des serveurs pour générer des aperçus peuvent enfreindre la vie privée des utilisateurs, les notes d'analyse.

Si, quelles applications utilisent les aperçus de lien?
La plupart des applications de chat les utilisent, car la fonctionnalité permet d'afficher facilement un aperçu visuel et une brève description du lien. Certaines applications, tels que Signal permettent aux utilisateurs d'activer ou de désactiver les aperçus de lien. Autres applications, comme WeChat et TIC Tac ne pas générer d'aperçu de lien. Les applications utilisant des aperçus de lien les activent de deux manières: du côté de l'expéditeur ou du destinataire ou via un serveur externe qui est renvoyé aux deux côtés du chat.

Les aperçus des liens côté expéditeur sont implémentés dans Apple iMessage, Signal (lorsqu'il est activé), Viber, et WhatsApp. Ceux-ci fonctionnent en téléchargeant le lien, création d'une image d'aperçu et d'un résumé, et l'envoyer au destinataire sous forme de pièce jointe. Lorsque l'autre utilisateur reçoit l'aperçu, il montre ce message sans avoir besoin d'ouvrir le lien.

De cette façon,, l'utilisateur est protégé des liens suspects. D'autre part, Les aperçus des liens côté destinataire peuvent permettre aux acteurs de la menace de mesurer l'emplacement approximatif de l'utilisateur. Cela peut se produire sans aucune action du côté du destinataire; il suffit d'envoyer un lien vers un serveur contrôlé par l'acteur de la menace.

Comment est-ce possible? Lorsque l'application de chat reçoit un message avec un lien, il ouvre automatiquement l'URL pour créer l'aperçu. Cependant, ce processus divulgue l'adresse IP de l'appareil dans la demande envoyée au serveur. Ce problème est présent dans Reddit Chat, et une autre application qui n'a pas été divulguée mais qui s'efforce de résoudre le problème.

Plus de détails techniques sur la façon dont les aperçus de liens peuvent menacer notre sécurité sont présents dans le blog des chercheurs.

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our politique de confidentialité.
Je suis d'accord