Las vistas previas de enlaces en aplicaciones de mensajería populares pueden generar vulnerabilidades de seguridad

Un nuevo reporte de los investigadores de seguridad Talal Haj Bakry y Tommy Mysk ha revelado que las vistas previas de enlaces en las aplicaciones de mensajería pueden generar problemas de seguridad y privacidad en iOS y Android. A través de vistas previas de enlaces, Bakry y Mysk descubrieron que las aplicaciones podían filtrar direcciones IP, exponer enlaces enviados en chats cifrados de extremo a extremo, descargar archivos grandes sin el consentimiento de los usuarios y copiar datos privados.

Las vistas previas de enlaces ofrecen un vistazo a contenido como páginas web o documentos en muchas aplicaciones de mensajería. La función permite a los usuarios ver un breve resumen y una vista previa de la imagen en línea con el resto de la conversación sin tener que tocar el enlace.

Aplicaciones como iMessage y WhatsApp aseguran que el remitente genere la vista previa, lo que significa que el receptor está protegido del riesgo si el enlace es malicioso. Esto se debe a que el resumen y la imagen de vista previa se crean en el dispositivo del remitente y se envían como un archivo adjunto. El dispositivo del receptor mostrará la vista previa tal como fue transmitida por el remitente sin tener que abrir el enlace. Las aplicaciones que no generan una vista previa del enlace, como TikTok y WeChat, tampoco se ven afectadas.

El problema surge cuando el receptor genera la vista previa del enlace, porque la aplicación abrirá automáticamente el enlace en segundo plano para crear la vista previa. Esto ocurre antes de que los usuarios toquen el enlace, exponiéndolos potencialmente a contenido malicioso. Aplicaciones como Reddit generan enlaces de esta manera.

Por ejemplo, un actor malintencionado podría enviar un enlace a su propio servidor. Cuando la aplicación del receptor abre automáticamente el enlace en segundo plano, enviaría la dirección IP del dispositivo al servidor, revelando su ubicación.

Este enfoque también puede causar problemas si el enlace apunta a un archivo grande, por lo que la aplicación puede intentar descargar el archivo completo, agotando la vida útil de la batería y perdiendo los límites del plan de datos.

Las vistas previas de enlaces también se pueden generar en un servidor externo, y así funcionan muchas aplicaciones populares como Discord, Facebook Messenger, Google Hangouts, Instagram, LinkedIn, Slack, Twitter y Zoom. En este caso, la aplicación primero enviará el enlace a un servidor externo y le pedirá que genere una vista previa, y luego el servidor enviará la vista previa tanto al remitente como al receptor.

Sin embargo, esto puede representar una amenaza para la seguridad cuando el contenido del enlace enviado es privado. El uso de un servidor externo permite que estas aplicaciones creen potencialmente copias no autorizadas de información privada y la retengan durante un período de tiempo.

Aunque muchas de las aplicaciones habían implementado un límite de datos sobre la cantidad de contenido de cualquier enlace para descargar, los investigadores descubrieron que Facebook Messenger e Instagram eran particularmente notables por descargar la totalidad del contenido de cualquier enlace a sus servidores, independientemente del tamaño. Cuando se le preguntó sobre este comportamiento, Facebook dijo que considera que «funciona según lo previsto».

Las copias guardadas en servidores externos podrían estar sujetas a violaciones de datos, lo que puede ser particularmente preocupante para los usuarios de aplicaciones comerciales como Zoom y Slack, y para aquellos que envían enlaces a datos privados confidenciales.

La investigación ofrece una apreciación de cómo la misma característica exacta puede funcionar de diferentes maneras y cómo estas diferencias pueden tener un impacto significativo en la seguridad y la privacidad. Ver el reporte completo para más información.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Comparte!