Um recurso comum incluído em muitos aplicativos de chat apresenta riscos de segurança e privacidade, dizem os pesquisadores. O problema centra-se em como algumas plataformas de mensagens exibem visualizações de links, com alguns aplicativos relatando endereços IP de filtragem, expondo links e fazendo download desnecessariamente de grandes quantidades de dados.
A natureza exata do problema depende do aplicativo específico em questão e de como ele gera a visualização do link. Aplicativos que não geravam nenhuma visualização, incluindo WeChat e TikTok, ofereciam aos usuários a maneira mais segura de lidar com links.
“Vamos dar um passo para trás e pensar sobre como uma visualização é gerada”, um postagem do blog por Talal Haj Bakry e Tommy Mysk lido. Como o aplicativo sabe o que mostrar no resumo? De alguma forma, ele deve abrir automaticamente o link para descobrir o que está dentro. Mas isso é seguro? E se o link contiver malware? Ou e se o link levar a um arquivo muito grande que você não deseja que o aplicativo baixe e use seus dados? “
Descarga arriscada
Para aplicativos que geram visualizações de link, há vários níveis de risco envolvidos. Alguns aplicativos envolvem o remetente gerando uma visualização, incluindo iMessage e WhatsApp, que apresentam um nível de risco relativamente baixo, assumindo que o remetente confia no link que está sendo enviado.
Os aplicativos que fazem o receptor gerar a visualização são mais preocupantes, pois abrem automaticamente o link assim que a mensagem é visualizada. Essa abordagem pode expor os endereços IP a invasores ou simplesmente esgotar a bateria do telefone e o plano de dados se um arquivo grande for baixado automaticamente.
Um terceiro método envolve um servidor externo que gera a visualização, o que parece bom, mas potencialmente expõe links privados para quem está operando o servidor em questão. Vários desenvolvedores de aplicativos já responderam às descobertas, que demonstram que mesmo funções simples de aplicativos podem representar sérios riscos à segurança.
