Un nuovo rapporto dei ricercatori sulla sicurezza Talal Haj Bakry e Tommy Mysk ha rivelato che le anteprime dei collegamenti nelle app di messaggistica possono portare a problemi di sicurezza e privacy su iOS e Android.
Attraverso le anteprime dei collegamenti, Bakry e Mysk hanno scoperto che le app potrebbero far trapelare indirizzi IP, esporre i collegamenti inviati in chat crittografate end-to-end, scaricare file di grandi dimensioni senza il consenso degli utenti e copiare dati privati.
Le anteprime offrono una panoramica di contenuti come pagine Web o documenti in molte app di messaggistica. La funzione consente agli utenti di visualizzare un breve riepilogo e visualizzare in anteprima l’immagine in linea con il resto della conversazione senza dover toccare il collegamento.
App come iMessage e WhatsApp assicurano che il mittente generi l’anteprima, il che significa che il destinatario è protetto dai rischi se il collegamento è dannoso. Questo perché il riepilogo e l’immagine di anteprima vengono creati sul dispositivo del mittente e inviati come allegato. Il dispositivo del destinatario mostrerà l’anteprima così come è stata trasmessa dal mittente senza dover aprire il collegamento. Anche le app che non generano affatto un’anteprima del collegamento, come TikTok e WeChat, non sono interessate.
Il problema sorge quando il destinatario genera l’anteprima del collegamento, perché l’app aprirà automaticamente il collegamento in background per creare l’anteprima. Ciò si verifica prima che gli utenti tocchino il collegamento, esponendoli potenzialmente a contenuti dannosi. App come Reddit generano collegamenti in questo modo.
Ad esempio, un malintenzionato potrebbe inviare un collegamento al proprio server. Quando l’app del destinatario apre automaticamente il collegamento in background, invia l’indirizzo IP del dispositivo al server, rivelando la sua posizione.
Le anteprime dei link possono anche essere generate su un server esterno, e questo sistema funziona su un gran numero di app popolari come Discord, Facebook Messenger, Google Hangouts, Instagram, LinkedIn, Slack, Twitter e Zoom funzionano. In questo caso, l’app invierà prima il collegamento a un server esterno e gli chiederà di generare un’anteprima, quindi il server invierà l’anteprima sia al mittente che al destinatario.
Tuttavia, ciò potrebbe rappresentare una minaccia per la sicurezza quando i contenuti del collegamento inviato sono privati. L’utilizzo di un server esterno consente a queste app di creare potenzialmente copie non autorizzate di informazioni private e di conservarle per un periodo di tempo.
Le copie conservate su server esterni potrebbero essere soggette a violazioni dei dati, che possono essere particolarmente preoccupanti per gli utenti di app aziendali come Zoom e Slack e per coloro che inviano collegamenti a dati privati sensibili.
Leggi o Aggiungi Commenti