Las vistas previas de URL en aplicaciones de mensajería ponen en riesgo los datos del usuario

Las aplicaciones de mensajería populares ofrecen vistas previas de enlaces, que permiten a los usuarios ver el contenido de una URL por adelantado. Hace unos días, los investigadores de seguridad Talal Haj Bakry y Tommy Mysk descubrieron que estas vistas previas pueden exponer datos de usuario en aplicaciones de iOS y Android.

Cuando envía un enlace a través de una aplicación de mensajería como Messenger, WhatsApp e iMessage, la aplicación genera una vista previa de ese enlace que generalmente contiene una imagen, un título y, a veces, un texto breve. Si bien esta es una característica extremadamente útil, los dos investigadores plantearon algunas preocupaciones de privacidad:

Demos un paso atrás y pensemos en cómo se genera una vista previa. ¿Cómo sabe la aplicación qué mostrar en el resumen? Tiene que abrir de alguna manera automáticamente el enlace para saber qué hay dentro. ¿Pero es seguro? ¿Qué pasa si el enlace contiene malware? ¿O qué pasa si el enlace conduce a un archivo muy grande que no desea que la aplicación se descargue consumiendo sus datos?

Talal Haj Bakry y Tommy Mysk explican que hay varias formas de generar estas vistas previas y que algunos métodos son más seguros que otros. iMessage y WhatsApp, por ejemplo, solo recuperan el contenido de una URL cuando se la envía a otra persona. Esto significa que probablemente ya sepa lo que se está compartiendo y también que el destinatario recibirá una vista previa generada por su dispositivo.

Reddit y otras aplicaciones, por otro lado, generar la vista previa en el dispositivo del destinatarioo. Una vez que se recibe un enlace, estas aplicaciones abren la URL en segundo plano y luego generan un enlace de vista previa. En este método, una persona desconocida puede enviarle un enlace malicioso que recopila datos de su dispositivo, como la dirección IP de su teléfono y, en consecuencia, su ubicación aproximada.

Sin embargo, hay un tercer enfoque que podría poner en peligro sus datos personales. Como señalaron los dos investigadores, aplicaciones como Discord, Messenger, Instagram y Twitter generan estas vistas previas de enlaces en un servidor remoto en lugar de en los dispositivos de envío y recepción. Para los usuarios, esto significa que los mensajes URL no están encriptados de un extremo a otro, por lo que cualquier persona con acceso a estos servidores puede ver el contenido del chat.

Los investigadores también encontraron que algunas de estas aplicaciones generan y descargan automáticamente vistas previas, incluso si es un archivo grande. Facebook Messenger, por ejemplo, puede descargar un archivo de hasta 20 MB sin la interacción del usuario, lo que no parece necesario para mostrar vistas previas de imágenes y texto. Y, por supuesto, esto también significa que cualquier archivo personal que pueda estar presente en el enlace enviado se almacena sin cifrar en los servidores de estas empresas, ya que las vistas previas se generan en línea.

Por ejemplo, si compartió a través de Messenger (pero no se limita a) un enlace de OneDrive que contiene un documento confidencial, ese documento pasará por servidores no cifrados para generar la vista previa.

En una de sus pruebas, los investigadores pudieron obtener las direcciones IP de los destinatarios simplemente enviando enlaces a través de estas aplicaciones que descargan automáticamente los enlaces de vista previa. Los dos también advierten que, en algunos casos, las páginas web pueden incluso ejecutar código Javascript malicioso a través de estas vistas previas.

El equipo se acercó a los desarrolladores de las aplicaciones antes mencionadas para ver cómo planean hacer que las vistas previas de enlaces sean más seguras. Más detalles son disponible aquí.

Noticias

Source: iPhone Italia by www.iphoneitalia.com.

*The article has been translated based on the content of iPhone Italia by www.iphoneitalia.com. If there is any problem regarding the content, copyright, please leave a report below the article. We will try to process as quickly as possible to protect the rights of the author. Thank you very much!

*We just want readers to access information more quickly and easily with other multilingual content, instead of information only available in a certain language.

*We always respect the copyright of the content of the author and always include the original link of the source article.If the author disagrees, just leave the report below the article, the article will be edited or deleted at the request of the author. Thanks very much! Best regards!