As visualizações de links aparecem sempre que as pessoas enviam URLs e endereços de sites em aplicativos de mensagens sociais como o iMessage da Apple, Facebook Messenger e WhatsApp, mostrando o conteúdo real ou um snippet do que esperar.
De acordo com pesquisadores de segurança on-line, as prévias de links podem colocar as pessoas em risco na violação de dados de usuários e na exposição de entidades maliciosas on-line.
A maioria dos aplicativos de mensagens sociais disponíveis no mercado oferecem o recurso que é prático e útil para saber qual site e conteúdo foi enviado e será aberto em breve. A função pretende ajudar um usuário com uma “proteção de segurança” antes de abrir links e cair no que ela traz.
Pré-visualização dos links: Como isso se tornou perigoso?
Entretanto, as visualizações de links são agora percebidas como “espadas de dois gumes” que também podem trazer danos potenciais e violação dos dados e exposição ao risco de hackers que se fixam em links inocentes.
De acordo com 9 to 5 Mac, os pesquisadores de segurança conseguiram provar isto através do estudo das previsões de links.
Talal Haj Bakry e Tommy Mysk compartilham suas descobertas e descobrem que ambas as plataformas iOS e Android que usam os aplicativos de mensagens sociais estão em risco de uma potencial violação de dados.
A dupla de pesquisadores de segurança descobriu que existem entidades maliciosas que podem se fixar somente em links, levando a que várias informações sejam acessíveis mesmo sem abrir os links.
Os pesquisadores argumentam que uma aplicação abre automaticamente os links em segundo plano para buscar os “metadados” ou a visualização do link de cada site que é enviado através dos aplicativos de mensagens.
Esta razão por si só compromete a integridade e a segurança de um usuário, mesmo sem abrir os links.
Pré-visualização dos links: Segurança e quebra de dados em risco
De acordo com o post do blog de Tommy Mysk, vários aplicativos de mensagens estão contribuindo para a quebra de segurança e exposição de dados sem a real intenção dos aplicativos de fazê-lo.
Os aplicativos de mensagens sociais podem chegar ao ponto de vazar endereços IP, expondo links apesar de usar serviços de criptografia de ponta a ponta e baixar silenciosamente “gigabytes” de dados em segundo plano.
Como os dados dos usuários podem ser expostos
Os pesquisadores foram capazes de resumir e identificar aplicações para ter diferentes tipos de abordagens sempre que um link é enviado através de mensagens:
O remetente gera a visualização prévia – Os blogueiros explicam que a primeira opção é a mais segura, apesar de ter uma visualização prévia do link porque mostra que o remetente confia no link enviado.
Os aplicativos de mensagens sob a primeira abordagem incluem o iMessage, Viber e WhatsApp da Apple.
Receptor que gera a Pré-visualização – Esta segunda abordagem é a mais “em risco” pelas aplicações de mensagens, pois protege o remetente e coloca o receptor em perigo através da pré-visualização do link.
As aplicações que utilizam esta abordagem incluem o bate-papo do site Reddit, chegando até mesmo a enviar o endereço IP do receptor.
Servidor que gera a Pré-visualização – A última abordagem é cética porque tanto o remetente quanto o receptor não sabe no que se encontram, mas evita o vazamento de IP em comparação com a anterior.
As aplicações com este método incluem Messenger, Discord, Hangouts, Instagram, LINE, LinkedIn, Twitter, e Zoom.
Leia mais: Hackers russos invadiram redes dos EUA em plena Eleição, dizem as autoridades
A terceira abordagem, tem algumas preocupações sobre sua funcionalidade. A abordagem não protege precisamente contra vazamentos de IP, mas a evita.
Além disso, esta abordagem baixa dados e arquivos dos servidores que abriram ou geraram o link, deixando assim o aplicativo e o telefone com dados do site.
Mysk e Haj aconselham as pessoas a evitar a geração de links de pré-visualização a partir do site para evitar a quebra de dados e a exposição total. Alguns links têm códigos maliciosos escondidos dentro deles e são potencialmente perigosos para os dados do aplicativo, que contém todas as informações do usuário.
Traduzido e adaptado por equipe Revolução.etc.br
Fontes: Tech Times, 9 to 5 Mac, Mysk Blog