Facebook Messenger, Instagram, Twitter podem expor dados por meio de visualizações de link: Relatório

Facebook Messenger Instagram Twitter podem expor dados por meio de

Os pesquisadores de segurança Talal Haj Bakry e Tommy Mysk publicaram uma postagem no blog detalhando os riscos de segurança que as visualizações de links podem representar. Quase todos os aplicativos de mensagens por aí oferecem visualizações de links e esses pesquisadores explicaram como esse recurso pode ser uma séria brecha de privacidade se não for tratado corretamente. Eles detalharam como o Instagram e o Facebook Messenger têm sérias lacunas que precisam ser corrigidas. Em seu estudo de caso, eles encontraram vários bugs, como vazamento de endereços IP, exposição de links enviados em chats criptografados de ponta a ponta e download desnecessário de gigabytes de dados silenciosamente em segundo plano.

Em um postagem do blog, Mysk e Bakry detalham como os aplicativos de bate-papo usam diferentes abordagens para gerar visualizações de links. Eles detalharam que o Reddit gera visualizações de link abrindo o link automaticamente antes mesmo de você tocar nele. Os usuários só precisam ver esta mensagem no Reddit para acionar essa programação de back-end. Essa abordagem pode fazer com que invasores mal-intencionados obtenham seu endereço IP que indiretamente leva aos detalhes de sua localização. O relatório diz que o Reddit já corrigiu esse problema depois que os pesquisadores os contataram.

Aplicativos como Discord, Facebook Messenger, Google Hangouts, Instagram, Line, LinkedIn, Slack, Twitter e Zoom usam outra abordagem que envolve o envio do link a um servidor externo para gerar uma visualização. O servidor enviará a visualização de volta ao remetente e ao destinatário. Com essa abordagem, o servidor precisará fazer uma cópia do que está no link para gerar a visualização, e essa cópia pode ser salva no servidor e mal utilizada posteriormente.

Essa abordagem pode estar violando a privacidade de seus usuários ao enviar links compartilhados em um chat privado para seus servidores. Esses links podem conter informações privadas destinadas apenas aos destinatários. Podem ser contas, contratos, registros médicos ou qualquer coisa que possa ser confidencial. Foi descoberto que o aplicativo de linha envia links criptografados de ponta a ponta (e2ee) aos servidores para gerar visualizações, anulando totalmente o propósito do e2ee.

Embora alguns aplicativos tenham limitações na quantidade de dados coletados e armazenados, o Instagram e o Facebook Messenger não têm limitações e podem baixar qualquer coisa, não importa o tamanho. Os pesquisadores mostram que o Instagram foi capaz de baixar um link de 2,7 GB em vários servidores do Facebook. Este link foi baixado em oito servidores do Facebook e cerca de 24,7 GB de dados foram baixados apenas por meio daquele link compartilhado no Instagram. Isso é alarmante, visto que a maioria dos aplicativos tem limitações de download. O Facebook e o Instagram ainda não responderam ao aviso que lhes foi enviado por esses pesquisadores.

O Slack tem um limite de download de 50 MB, enquanto o LinkedIn tem um limite de 30 MB. Mesmo com essas limitações, isso pode levar à violação de privacidade se esses servidores forem hackeados. Os pesquisadores mencionam que uma abordagem agregável é usada pelo WhatsApp, Signal, iMessage e Viber, onde o “aplicativo irá e fará o download do que está no link. Ele criará um resumo e uma imagem de visualização do site, e enviará este como um anexo junto com o link. Quando o aplicativo na extremidade receptora receber a mensagem, ele mostrará a visualização conforme foi recebida do remetente, sem ter que abrir o link. Dessa forma, o destinatário estaria protegido contra riscos se o link for malicioso. Esta abordagem pressupõe que quem está enviando o link deve confiar nele, uma vez que será o aplicativo do remetente que terá que abrir o link. ” A abordagem usada pela maioria dos aplicativos de envio de links para servidores pode ser mal utilizada pelos agentes de ameaças para executar códigos potencialmente maliciosos em visualizações de links. WeChat, Threema e TikTok não geram nenhuma visualização de link, e até mesmo o Signal tem a opção de desligá-lo se desejar.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *