Especialistas alertam para riscos de privacidade causados por visualizações de links em aplicativos de mensagens

Views: 366
0 0
Read Time:5 Minute, 6 Second

Pesquisadores de segurança cibernética no fim de semana divulgaram novos riscos de segurança associados a visualizações de links em aplicativos de mensagens populares que fazem com que os serviços vazem endereços IP, exponham links enviados através de chats criptografados de ponta a ponta e até mesmo baixem desnecessariamente gigabytes de dados furtivamente em segundo plano.

“Links compartilhados em chats podem conter informações privadas destinadas apenas aos destinatários”, disseramos pesquisadores Talal Haj Bakry e Tommy Mysk .

“Podem ser contas, contratos, registros médicos ou qualquer coisa que possa ser confidencial.”

“Aplicativos que dependem de servidores para gerar visualizações de links podem estar violando a privacidade de seus usuários enviando links compartilhados em um chat privado para seus servidores.”

Gerando visualizações de link no lado remetente/receptor

As visualizações de links são um recurso comum na maioria dos aplicativos de bate-papo, facilitando a exibição de uma visualização visual e uma breve descrição do link compartilhado.

Embora aplicativos como Signal e Wire dêem aos usuários a opção de ativar/desativar visualizações de links, alguns outros como Threema, TikTok e WeChat não geram uma visualização de link.

Os aplicativos que geram as visualizações o fazem tanto no final do remetente quanto no final do destinatário ou usando um servidor externo que é então enviado de volta para o remetente e receptor.

As visualizações de link do lado do remetente — usadas no Apple iMessage, Signal (se a configuração estiver ativada), Viber e WhatsApp do Facebook — funcionam baixando o link, seguido pela criação da imagem e do resumo de visualização, que é então enviado ao destinatário como um anexo. Quando o aplicativo na outra extremidade recebe a visualização, ele exibe a mensagem sem abrir o link, protegendo assim o usuário de links maliciosos.

“Essa abordagem pressupõe que quem está enviando o link deve confiar nele, já que será o aplicativo do remetente que terá que abrir o link”, disseram os pesquisadores.

Em contraste, as visualizações de link geradas no lado do destinatário abrem a porta para novos riscos que permitem a um ator ruim avaliar sua localização aproximada sem qualquer ação tomada pelo receptor, simplesmente enviando um link para um servidor sob seu controle.

Isso acontece porque o aplicativo de mensagens, ao receber uma mensagem com um link, abre a URL automaticamente para criar a visualização, divulgando o endereço IP do telefone na solicitação enviada ao servidor.

Reddit Chat e um aplicativo não revelado, que está “em processo de corrigir o problema”, foram encontrados para seguir essa abordagem, segundo os pesquisadores.

Usando um servidor externo para gerar visualizações de link

Por fim, o uso de um servidor externo para gerar visualizações, ao mesmo tempo em que evita o problema de vazamento de endereço IP, cria novos problemas: O servidor usado para gerar a visualização retém uma cópia e, se sim, por quanto tempo e para que o usa?

mobile messaging apps

Vários aplicativos, contando Discord, Facebook Messenger, Google Hangouts, Instagram, LINE, LinkedIn, Slack, Twitter e Zoom, se enquadram nessa categoria, sem indicação aos usuários de que “os servidores estão baixando o que encontrarem em um link”.

Testando esses aplicativos revelou que, com exceção do Facebook Messenger e instagram, todos os outros impuseram um limite de 15-50 MB quando se trata dos arquivos baixados por seus respectivos servidores. O Slack, por exemplo, armazena as visualizações de links por cerca de 30 minutos.

Os outliers, Facebook Messenger e Instagram, foram encontrados para baixar arquivos inteiros, mesmo que eles esbarraram em gigabytes de tamanho (como um arquivo de 2,6GB), que de acordo com o Facebook, é um recurso pretendido.

Mesmo assim, alertam os pesquisadores, isso pode ser um “pesadelo de privacidade” se os servidores reterem uma cópia e “houver uma violação de dados desses servidores”.

Além disso, apesar do recurso de criptografia de ponta a ponta (E2EE) da LINE projetado para evitar que terceiros espionem conversas, a dependência do aplicativo em um servidor externo para gerar visualizações de link permite que “os servidores LINE [para] saber tudo sobre os links que estão sendo enviados através do aplicativo e quem está compartilhando quais links para quem”.

Desde então, o LINK atualizou seu FAQ para refletir que “para gerar visualizações de URL, links compartilhados em chats também são enviados para os servidores da LINE”.

Em um caso separado, os pesquisadores também descobriram que era possível executar servidores de visualização de links de código maliciosos, resultando em um link de código JavaScript compartilhado no Instagram ou No LinkedIn para fazer com que seus servidores executassem o código.

“Testamos isso enviando um link para um site em nosso servidor que continha código JavaScript que simplesmente fez uma chamada de retorno ao nosso servidor”, disseram eles. “Conseguimos confirmar que tínhamos pelo menos 20 segundos de tempo de execução nesses servidores.”

Tendo em mente as implicações de privacidade e segurança

Bakry e Mysk já expuseram falhas no TikTok que permitiram que os invasores exibissem vídeos falsificados, incluindo os de contas verificadas, redirecionando o aplicativo para um servidor falso hospedando uma coleção de vídeos falsos. No início de março deste ano, a dupla também descobriu uma captura de privacidade preocupante por mais de quatro dúzias de aplicativos para iOS que foram encontrados para acessar as áreas de transferência dos usuários sem a permissão explícita dos usuários.

O desenvolvimento levou a Apple a introduzir uma nova configuração no iOS 14 que alerta os usuários toda vez que um aplicativo tenta copiar informações de área de transferência, além de adicionar nova permissão que protege a área de transferência contra acesso injustificado por aplicativos de terceiros.

“Achamos que há uma grande vantagem aqui para os desenvolvedores: sempre que você está construindo um novo recurso, tenha sempre em mente que tipo de implicações de privacidade e segurança ele pode ter, especialmente se esse recurso for usado por milhares ou até milhões de pessoas em todo o mundo.”

“As visualizações de link são um recurso que os usuários geralmente se beneficiam, mas aqui e nós mostramos a ampla gama de problemas que esse recurso pode ter quando as preocupações de privacidade e segurança não são cuidadosamente consideradas.”

FONTE: THE HACKER NEWS

POSTS RELACIONADOS