Um novo relatório de segurança indica que as visualizações de link compartilhadas em aplicativos de bate-papo podem causar “sérios problemas de privacidade se não for feito corretamente.”
Os pesquisadores Talal Haj Bakry e Tommy Mysk descobriram vários casos de aplicativos vulneráveis que vazavam endereços IP, expor links em bate-papos criptografados de ponta a ponta, e baixando silenciosamente gigabytes de dados sem qualquer necessidade.
Os riscos ocultos das visualizações de link em aplicativos de bate-papo
Os pesquisadores apontam que as visualizações de links são um ótimo exemplo de como um recurso simples pode ocultar riscos de segurança. Durante sua pesquisa, a equipe encontrou vários bugs na maneira como o recurso é implementado em aplicativos de bate-papo populares no Android e iOS.
O problema com as visualizações de link é que eles podem conter informações confidenciais que apenas os destinatários devem ver. Essas informações podem ser contratos, registros médicos, ou outros documentos confidenciais. Em outras palavras, aplicativos que dependem de servidores para gerar visualizações podem estar violando a privacidade dos usuários, as notas de análise.
assim, quais aplicativos usam visualizações de link? A maioria dos aplicativos de bate-papo usa esses, pois o recurso facilita a exibição de uma visualização e uma breve descrição do link. Alguns aplicativos, como sinal, permitem que os usuários liguem ou desliguem as visualizações de link. Outros aplicativos, como WeChat e TikTok não gere uma visualização do link. Os aplicativos que usam visualizações de link os habilitam de duas maneiras - no remetente ou destinatário ou por meio de um servidor externo que é enviado de volta para os dois lados do bate-papo.
As visualizações de link do remetente são implementadas no Apple iMessage, Sinal (quando habilitado), Viber, e WhatsApp. Estes funcionam baixando o link, criando imagem de visualização e resumo, e enviá-lo ao destinatário na forma de um anexo. Quando o outro usuário recebe a visualização, mostra aquela mensagem sem a necessidade de abrir o link.
Deste jeito, o usuário está protegido de links suspeitos. Por outro lado, as visualizações do link do destinatário podem permitir que os agentes da ameaça avaliem a localização aproximada do usuário. Isso pode acontecer sem qualquer ação do lado do receptor; tudo o que precisa ser feito é enviar um link para um servidor controlado pelo ator da ameaça.
Como isso é possível? Quando o aplicativo de bate-papo recebe uma mensagem com um link, ele abre o URL automaticamente para criar a visualização. Contudo, este processo revela o endereço IP do dispositivo na solicitação enviada ao servidor. Este problema está presente no Reddit Chat, e outro aplicativo que não foi divulgado, mas está trabalhando para corrigir o problema.
Mais detalhes técnicos de como as visualizações de link podem ameaçar nossa segurança estão presentes no blog dos pesquisadores.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: