Le anteprime dei collegamenti sono una funzionalità innegabilmente utile. Tuttavia, può anche compromettere la privacy e la sicurezza.
L’anteprima del collegamento (o anteprima) è una funzionalità che si trova in quasi tutte le moderne app di messaggistica e non è solo lì. Semplifica le conversazioni online mostrando una breve descrizione del sito, un’immagine in miniatura o entrambe le immagini e il testo associati al file collegato.
Sfortunatamente, possono anche cedere i nostri dati sensibili, consumare Internet, scaricare le batterie degli smartphone e persino aprire collegamenti in chat crittografate end-to-end. Secondo uno studio pubblicato lunedì, le violazioni più gravi sono state riscontrate nei messenger Facebook (senza dubbio), Instagram, LinkedIn e Line.
Come funziona l’anteprima?
Quando il mittente include un collegamento in un messaggio, l’app lo accompagna con un titolo, un breve testo e un’immagine. Di solito assomiglia a questo:
Perché ciò avvenga, l’applicazione stessa, o un server proxy ad essa assegnato, deve seguire il collegamento, aprire lì il file o il sito Web e vedere cosa contiene. Ed è proprio questo che rende gli utenti vulnerabili agli attacchi. Le app più pericolose sono quelle che consentono di scaricare malware, mentre altre possono essere costrette a scaricare file così grandi da causare il crash dell’applicazione, consumare la batteria o consumare traffico Internet limitato.
E se il collegamento porta a contenuti privati, come una dichiarazione dei redditi inviata a un account OneDrive o DropBox privato, il server dell’app può visualizzarlo e archiviarlo a tempo indeterminato.
I ricercatori Talal Haj Bakri e Tommy Mysk, che hanno prodotto il rapporto, hanno scoperto che Facebook Messenger e Instagram hanno subito il maggior numero di abusi. Come mostrato nel video qui sotto, entrambe le applicazioni scaricano e copiano l’intero file collegato, anche se misurato in gigabyte. E questo può essere un problema se gli utenti vogliono mantenere privato il file che inviano.
I server di Instagram scaricheranno qualsiasi link inviato nei messaggi privati, anche se è di 2,6 GB.
Scaricando questi allegati, le applicazioni possono consumare un’enorme quantità di traffico Internet e di carica della batteria. Entrambe le applicazioni eseguono anche qualsiasi JavaScript contenuto nel collegamento. Il problema è che gli utenti non hanno la possibilità di verificare la sicurezza del codice JavaScript sul sito e non possono aspettarsi che i programmi di messaggistica istantanea abbiano a bordo la stessa protezione dagli exploit dei browser moderni.
Gli hacker possono eseguire qualsiasi codice JavaScript sui server di Instagram.
Haj Bakri e Mysk hanno riferito le loro scoperte a Facebook stesso, ma la società ha affermato che entrambe le app funzionavano come previsto. LinkedIn è andato un po ‘meglio. L’unica differenza era che invece di copiare file di qualsiasi dimensione, copiava solo i primi 50 megabyte.
Nel frattempo, quando l’ app Line apre il messaggio crittografato e trova il collegamento, lo invia al server dell’azienda per generare un’anteprima.
"Riteniamo che ciò vanifichi lo scopo della crittografia end-to-end, poiché i server LINE sanno tutto sui collegamenti inviati tramite l’app e su chi passa quali collegamenti a chi", hanno scritto i ricercatori.
Anche Discord, Google Hangouts, Slack, Twitter e Zoom copiano i file, ma limitano la quantità di dati tra 15 MB e 50 MB. La tabella seguente fornisce un confronto di ciascuna applicazione inclusa nello studio.
Nel complesso, lo studio è una buona notizia, poiché mostra che la maggior parte delle app di messaggistica funziona correttamente. Ad esempio, Signal, Threema, TikTok e WeChat offrono agli utenti la possibilità di non ottenere anteprime dei collegamenti. Per i messaggi veramente sensibili e gli utenti che desiderano la massima privacy, queste sono le opzioni migliori. Dopotutto, anche se contiene un’anteprima, queste applicazioni utilizzano mezzi relativamente sicuri per eseguirne il rendering. Sfortunatamente, Tommy e Hajj non hanno incluso Telegram nel loro studio.