Un nuovo rapporto sulla sicurezza indica che le anteprime dei link condivise nelle applicazioni di chat possono causare "gravi problemi di privacy se non eseguiti correttamente."
I ricercatori Talal Haj Bakry e Tommy Mysk hanno scoperto diversi casi di app vulnerabili che perdevano indirizzi IP, esporre i collegamenti nelle chat crittografate end-to-end, e il download silenzioso di gigabyte di dati senza alcuna necessità.
I rischi nascosti delle anteprime dei link nelle app di chat
I ricercatori sottolineano che le anteprime dei collegamenti sono un ottimo esempio di come una semplice funzionalità possa nascondere i rischi per la sicurezza. Durante la loro ricerca, il team ha riscontrato diversi bug nel modo in cui la funzione è implementata nelle app di chat più diffuse su Android e iOS.
Il problema con le anteprime dei collegamenti è che possono contenere informazioni sensibili che solo i destinatari dovrebbero vedere. Queste informazioni possono essere contratti, cartelle cliniche, o altri documenti riservati. In altre parole, le app che si basano su server per generare anteprime potrebbero violare la privacy degli utenti, le note di analisi.
Così, quali app utilizzano le anteprime dei collegamenti? La maggior parte delle app di chat li usa, poiché la funzionalità semplifica la visualizzazione di un'anteprima visiva e una breve descrizione del collegamento. alcune applicazioni, come Signal consente agli utenti di attivare o disattivare le anteprime dei collegamenti. Altre app, come WeChat e Tic toc non generare un'anteprima del collegamento. Le app che utilizzano le anteprime dei collegamenti le abilitano in due modi: dal mittente o dal destinatario o tramite un server esterno che viene rimandato a entrambi i lati della chat.
Le anteprime dei collegamenti lato mittente sono implementate in Apple iMessage, Segnale (quando abilitato), Viber, e WhatsApp. Funzionano scaricando il collegamento, creazione dell'immagine di anteprima e riepilogo, e inviarlo al destinatario sotto forma di allegato. Quando l'altro utente riceve l'anteprima, mostra quel messaggio senza la necessità di aprire il collegamento.
Questo modo, l'utente è protetto da link sospetti. D'altronde, Le anteprime dei collegamenti lato destinatario potrebbero consentire agli autori delle minacce di misurare la posizione approssimativa dell'utente. Ciò può avvenire senza alcuna azione da parte del destinatario; tutto ciò che è necessario fare è inviare un collegamento a un server controllato dall'attore della minaccia.
Com'è possibile? Quando l'app di chat riceve un messaggio con un collegamento, apre automaticamente l'URL per creare l'anteprima. Tuttavia, questo processo rivela l'indirizzo IP del dispositivo nella richiesta inviata al server. Questo problema è presente in Reddit Chat, e un'altra app che non è stata divulgata ma sta lavorando per risolvere il problema.
Sono presenti ulteriori dettagli tecnici su come le anteprime dei collegamenti possono minacciare la nostra sicurezza nel blog dei ricercatori.