Se alguma vez enviou um link sobre a grande maioria de aplicações de mensagens – como o Messenger ou WhatsApp – possivelmente verificou também que estas aplicações costumam gerar uma pequena pré-visualização do conteúdo no link, por vezes com uma imagem, vídeo ou texto.
Esta função é extremamente útil para os utilizadores, pois permite verem um pouco de informação sobre o link antes de acederem realmente ao mesmo. No entanto, esta pode também ser uma porta de entrada para possíveis atividades maliciosas, como demonstraram recentemente os investigadores Talal Haj Bakry e Tommy Mysk.
De acordo com os investigadores, utilizadores mal intencionados podem aproveitar esta funcionalidade de pré-visualização na maioria das apps para obterem dados sensíveis dos utilizadores – ou até para realizarem algumas atividades maliciosas – algo que afeta dispositivos Android e iOS de similar forma.
Quando um link é enviado nestas aplicações, as mesmas procedem em segundo plano a uma recolha de informações sobre o conteúdo existente no mesmo. Esta recolha de informação é onde pode existir também a recolha de dados por parte dos utilizadores maliciosos – já que o acesso está a ser feito a partir dos dispositivos dos utilizadores.
Como exemplo, um link do Reddit pode ser usado para obter o IP dos utilizadores em apps como o Messenger. A situação torna-se mais complexa quando são partilhados links em apps que não possuem encriptação ponta-a-ponta, como o Messenger, Instagram e Twitter, onde é possível aceder ao conteúdo das conversas através da exploração desta funcionalidade.
Outro exemplo de onde a funcionalidade pode ser usada para fins maliciosos encontra-se na pré-visualização do conteúdo do link – nomeadamente imagens e vídeos. A maioria das apps pode descarregar o conteúdo de pré-visualização dos links para os sistemas dos utilizadores, mas não analisa o tamanho final deste conteúdo. Um link especificamente criado para o efeito pode ser enviado com um conteúdo de pré-visualização bastante pesado – como 2 ou 3GB – sendo que a app vai descarregar o mesmo em segundo plano.
No final, cabe às entidades responsáveis pelas apps de conversação corrigirem este problema nos seus sistemas de pré-visualização de links.
Nenhum comentário
Seja o primeiro!