Los investigadores de ciberseguridad durante el fin de semana revelaron nuevos riesgos de seguridad asociados con las vistas previas de enlaces en aplicaciones de mensajería populares que hacen que los servicios filtren direcciones IP, expongan enlaces enviados a través de chats cifrados de extremo a extremo e incluso descarguen innecesariamente gigabytes de datos de forma sigilosa en segundo plano.
«Los enlaces compartidos en los chats pueden contener información privada destinada únicamente a los destinatarios», dijeron los investigadores Talal Haj Bakry y Tommy Mysk .
«Pueden ser facturas, contratos, registros médicos o cualquier cosa que pueda ser confidencial».
«Las aplicaciones que dependen de los servidores para generar vistas previas de enlaces pueden violar la privacidad de sus usuarios al enviar enlaces compartidos en un chat privado a sus servidores».
Generación de vistas previas de enlaces en el lado del remitente / receptor
Las vistas previas de enlaces son una característica común en la mayoría de las aplicaciones de chat, lo que facilita la visualización de una vista previa visual y una breve descripción del enlace compartido.
Aunque aplicaciones como Signal y Wire brindan a los usuarios la opción de activar / desactivar las vistas previas de enlaces, algunas otras como Threema, TikTok y WeChat no generan una vista previa de enlaces en absoluto.
Las aplicaciones que generan las vistas previas lo hacen al final del remitente o del destinatario o mediante un servidor externo que luego se envía de vuelta tanto al remitente como al destinatario.
Las vistas previas de enlaces del lado del remitente, utilizadas en Apple iMessage, Signal (si la configuración está activada), Viber y WhatsApp de Facebook, funcionan al descargar el enlace, seguido de la creación de la imagen de vista previa y el resumen, que luego se envía al destinatario como un adjunto archivo. Cuando la aplicación en el otro extremo recibe la vista previa, muestra el mensaje sin abrir el enlace, protegiendo así al usuario de enlaces maliciosos.
«Este enfoque asume que quien envía el enlace debe confiar en él, ya que será la aplicación del remitente la que tendrá que abrir el enlace», dijeron los investigadores.
Por el contrario, las vistas previas de enlaces generadas en el lado del destinatario abren la puerta a nuevos riesgos que permiten a un mal actor medir su ubicación aproximada sin que el receptor realice ninguna acción simplemente enviando un enlace a un servidor bajo su control.
Esto sucede porque la aplicación de mensajería, al recibir un mensaje con un enlace, abre la URL automáticamente para crear la vista previa al revelar la dirección IP del teléfono en la solicitud enviada al servidor.
Se descubrió que Reddit Chat y una aplicación no revelada, que está «en proceso de solucionar el problema», siguen este enfoque, según los investigadores.
Uso de un servidor externo para generar vistas previas de enlaces
Por último, el uso de un servidor externo para generar vistas previas, al tiempo que evita el problema de fuga de direcciones IP, crea nuevos problemas: ¿El servidor utilizado para generar la vista previa retiene una copia y, de ser así, por cuánto tiempo y para qué la usan? ¿para?
Varias aplicaciones, contando Discord, Facebook Messenger, Google Hangouts, Instagram, LINE, LinkedIn, Slack, Twitter y Zoom, entran en esta categoría, sin ninguna indicación para los usuarios de que «los servidores están descargando lo que encuentran en un enlace».
La prueba de estas aplicaciones reveló que, a excepción de Facebook Messenger e Instagram, todas las demás impusieron un límite de 15 a 50 MB cuando se trata de los archivos descargados por sus respectivos servidores. Slack, por ejemplo, almacena en caché las vistas previas de enlaces durante unos 30 minutos.
Se encontró que los valores atípicos, Facebook Messenger e Instagram, descargaron archivos completos, incluso si tenían un tamaño de gigabytes (como un archivo de 2.6GB), que según Facebook, es una característica prevista.
Incluso entonces, advierten los investigadores, esto podría ser una «pesadilla de privacidad» si los servidores retienen una copia y «alguna vez hay una violación de datos de estos servidores».
Es más, a pesar de la función de cifrado de extremo a extremo de LINE (E2EE) diseñada para evitar que terceros escuchen las conversaciones, la dependencia de la aplicación en un servidor externo para generar vistas previas de enlaces permite que «los servidores de LINE [conozcan] todo acerca de los enlaces que se envían a través de la aplicación y quién comparte qué enlaces a quién «.
Desde entonces, LINK ha actualizado sus preguntas frecuentes para reflejar que «para generar vistas previas de URL, los enlaces compartidos en los chats también se envían a los servidores de LINE».
En otro caso, los investigadores también descubrieron que era posible ejecutar código malicioso en servidores de vista previa de enlaces, lo que resultaba en un enlace de código JavaScript compartido en Instagram o LinkedIn para hacer que sus servidores ejecutaran el código.
«Probamos esto enviando un enlace a un sitio web en nuestro servidor que contenía código JavaScript que simplemente hizo una devolución de llamada a nuestro servidor», dijeron. «Pudimos confirmar que teníamos al menos 20 segundos de tiempo de ejecución en estos servidores».
Tener en cuenta las implicaciones de privacidad y seguridad
Bakry y Mysk han expuesto previamente fallas en TikTok que hicieron posible que los atacantes mostraran videos falsificados, incluidos los de cuentas verificadas, al redirigir la aplicación a un servidor falso que aloja una colección de videos falsificados. A principios de marzo, el dúo también descubrió un problema de privacidad preocupante por parte de más de cuatro docenas de aplicaciones de iOS que se encontraron para acceder a los portapapeles de los usuarios sin el permiso explícito de los usuarios.
El desarrollo llevó a Apple a introducir una nueva configuración en iOS 14 que alerta a los usuarios cada vez que una aplicación intenta copiar la información del portapapeles, además de agregar un nuevo permiso que protege el portapapeles del acceso injustificado de aplicaciones de terceros.
«Creemos que hay una gran conclusión para los desarrolladores: siempre que cree una nueva función, tenga siempre en cuenta el tipo de implicaciones de privacidad y seguridad que puede tener, especialmente si esta función va a ser utilizada por miles o incluso millones de Gente alrededor del mundo.»
«Las vistas previas de enlaces son una característica agradable de la que los usuarios generalmente se benefician, pero aquí y hemos mostrado la amplia gama de problemas que esta característica puede tener cuando las preocupaciones de privacidad y seguridad no se consideran cuidadosamente».
Vía: The Hacker Hews