27/10/2020

Culturas

TECNOLOGÍA

Enviar un link por Facebook Messenger o Instagram puede ser riesgoso para la privacidad

Las vistas previas de enlaces en los chats pueden generar la filtración de dirección IP y la exposición de información, según una reciente investigación.

Las vistas previas de enlaces o links en las aplicaciones de chat pueden vulnerar la privacidad y seguridad de los usuarios, según concluyeron los especialistas en sistemas Talal Haj Bakry y Tommy Mysk tras una investigación publicada recientemente. Esta vulnerabilidad está presente en varios sistemas de mensajería, pero los más populares que la sufren son Facebook Messenger e Instagram.
“Repasaremos algunos de los errores que encontramos al investigar cómo se implementa esta función en las aplicaciones de chat más populares en iOS y Android”, se lee al comienzo del informe donde se detalla cómo diferentes formas de mostrar esos links pueden propiciar la filtración de direcciones IP, exponer enlaces enviados en chats con cifrado de extremo a extremo o descargar datos en segundo plano, sin que el usuario lo sepa.
No es la primera vez que estos investigadores evalúan la seguridad de aplicaciones. De hecho descubrieron que TikTok estuvo leyendo los portapapeles de los usuarios de Apple. Ya en febrero habían develado que cualquier dato que se copiara al portapapeles en un dispositivo iOS podía ser leído por cualquier aplicación que estuviera activa.
Qué son y cómo se crean las vistas previas de links
Cuando se envía un enlace a un artículo, foto, video, acceso a descarga o cualquier otro contenido online, el destinatario del mensaje verá, en muchos casos, una vista previa de ese material. Esto requiere que el enlace vaya a algún sitio, por ejemplo un servidor, para que éste luego devuelva la vista previa que se verá en la app de mensajería del destinatario.
El punto en cuestión es cómo es se articula ese circuito que permite generar la vista previa. Porque si no se cuida la manera en que se realiza, se podrían exponer los datos privados de los usuarios, ya que el contenido podría descargarse en los servidores de la plataforma.
En esta investigación, publicada el 25 de octubre, Bakry y Mysk hicieron un detalle exhaustivo de varias apps populares donde mencionan que tanto Facebook Messenger como Instagram se destacaron porque para mostrar la vista previa de los links, las apps descargan en sus servidores el contenido, con lo cual terminan teniendo un potencial acceso a ese contenido.
Si bien no son las únicas plataformas que hacen esto para poder mostrar el preview, lo cierto es que, a diferencia de otras, descargan en sus servidores el contenido completo, en el caso de que se trate de fotos o videos, e incluso archivos de varios gigabytes de peso.
“Todavía no nos queda claro por qué los servidores de Facebook harían esto cuando todas las demás aplicaciones ponen un límite a la cantidad de datos que se descargan”, se menciona en la investigación.
Lo ideal, para cuidar la seguridad de los usuarios al menos en relación a este ítem, sería que las aplicaciones no generen una vista previa del enlace enviado. Simplemente deberían mostrar el link tal como se envío ya que en este caso la app no hará ninguna acción salvo que el usuario toque ese link y decida ser redirigido al contenido correspondiente. Las aplicaciones analizadas por los investigadores que siguen este enfoque son Signal, Threema, Tik Tok y WeChat.
Las diferentes formas de generar una vista previa y los riesgos que implican
Los investigadores analizaron otro enfoque que emplean algunas apps para mostrar enlaces de forma previa y que, a su parecer, es una opción segura. Se trata de las apps iMessage, Viber, WhatsApp y Signal (cuando se opta por esta opción en el menú de ajustes) que cuando se envía un link, la app descarga lo que hay en el enlace, crea un resumen y una imagen de vista previa del sitio web, el cual es enviado como un archivo adjunto junto con el enlace. Cuando la aplicación en el extremo receptor recibe el mensaje, mostrará la vista previa tal como la recibió el remitente sin tener que abrir el enlace. De este modo, el receptor estaría protegido en caso de que el link sea malicioso.
El riesgo de que los datos queden almacenados en servidores
Hay otras aplicaciones que toman un enfoque intermedio entre los mencionados previamente. La plataforma envía el link a un servidor externo y le pide que genere una vista previa. Luego el servidor enviará la vista previa al emisor y al destinatario.
En principio esto parece adecuado porque ni el receptor ni el emisor abren el link y por lo tanto se evita el problema de la filtración de IP sin embargo, según advierten los investigadores, hay otros problemas.

Las vistas previas de enlaces o links en las aplicaciones de chat pueden vulnerar la privacidad y seguridad de los usuarios, según concluyeron los especialistas en sistemas Talal Haj Bakry y Tommy Mysk tras una investigación publicada recientemente.

Esta vulnerabilidad está presente en varios sistemas de mensajería, pero los más populares que la sufren son Facebook Messenger e Instagram, según explicó la periodista Desirée Jaimovich.

“Repasaremos algunos de los errores que encontramos al investigar cómo se implementa esta función en las aplicaciones de chat más populares en iOS y Android”, se lee al comienzo del informe donde se detalla cómo diferentes formas de mostrar esos links pueden propiciar la filtración de direcciones IP, exponer enlaces enviados en chats con cifrado de extremo a extremo o descargar datos en segundo plano, sin que el usuario lo sepa.

No es la primera vez que estos investigadores evalúan la seguridad de aplicaciones. De hecho descubrieron que TikTok estuvo leyendo los portapapeles de los usuarios de Apple. Ya en febrero habían develado que cualquier dato que se copiara al portapapeles en un dispositivo iOS podía ser leído por cualquier aplicación que estuviera activa.


Qué son y cómo se crean las vistas previas de links

Cuando se envía un enlace a un artículo, foto, video, acceso a descarga o cualquier otro contenido online, el destinatario del mensaje verá, en muchos casos, una vista previa de ese material. Esto requiere que el enlace vaya a algún sitio, por ejemplo un servidor, para que éste luego devuelva la vista previa que se verá en la app de mensajería del destinatario.

El punto en cuestión es cómo es se articula ese circuito que permite generar la vista previa. Porque si no se cuida la manera en que se realiza, se podrían exponer los datos privados de los usuarios, ya que el contenido podría descargarse en los servidores de la plataforma.

En esta investigación, publicada el 25 de octubre, Bakry y Mysk hicieron un detalle exhaustivo de varias apps populares donde mencionan que tanto Facebook Messenger como Instagram se destacaron porque para mostrar la vista previa de los links, las apps descargan en sus servidores el contenido, con lo cual terminan teniendo un potencial acceso a ese contenido.

Si bien no son las únicas plataformas que hacen esto para poder mostrar el preview, lo cierto es que, a diferencia de otras, descargan en sus servidores el contenido completo, en el caso de que se trate de fotos o videos, e incluso archivos de varios gigabytes de peso.

“Todavía no nos queda claro por qué los servidores de Facebook harían esto cuando todas las demás aplicaciones ponen un límite a la cantidad de datos que se descargan”, se menciona en la investigación.

Lo ideal, para cuidar la seguridad de los usuarios al menos en relación con este ítem, sería que las aplicaciones no generen una vista previa del enlace enviado.

Simplemente deberían mostrar el link tal como se envío ya que en este caso la app no hará ninguna acción salvo que el usuario toque ese link y decida ser redirigido al contenido correspondiente. Las aplicaciones analizadas por los investigadores que siguen este enfoque son Signal, Threema, Tik Tok y WeChat.


Las diferentes formas de generar una vista previa y los riesgos que implican

Los investigadores analizaron otro enfoque que emplean algunas apps para mostrar enlaces de forma previa y que, a su parecer, es una opción segura. Se trata de las apps iMessage, Viber, WhatsApp y Signal (cuando se opta por esta opción en el menú de ajustes) que cuando se envía un link, la app descarga lo que hay en el enlace, crea un resumen y una imagen de vista previa del sitio web, el cual es enviado como un archivo adjunto junto con el enlace.

Cuando la aplicación en el extremo receptor recibe el mensaje, mostrará la vista previa tal como la recibió el remitente sin tener que abrir el enlace. De este modo, el receptor estaría protegido en caso de que el link sea malicioso.


El riesgo de que los datos queden almacenados en servidores

Hay otras aplicaciones que toman un enfoque intermedio entre los mencionados previamente. La plataforma envía el link a un servidor externo y le pide que genere una vista previa.

Luego el servidor enviará la vista previa al emisor y al destinatario.
En principio esto parece adecuado porque ni el receptor ni el emisor abren el link y por lo tanto se evita el problema de la filtración de IP sin embargo, según advierten los investigadores, hay otros problemas.




Recomienda esta nota: