48 3052-8500

Um link e mil problemas - OSTEC | Segurança digital de resultados

Geral 3min de Leitura - 27 de outubro de 2020

Um link e mil problemas

close em tela de computador exibindo linguagem de programação

This post is also available in: Português

Especialistas alertam sobre riscos de privacidade causados por visualizações de links em aplicativos de mensagens.

Grande parte das vulnerabilidades com segurança digital estão “escondidas” nas atividades mais rotineiras do uso de internet. Até em um link que você passa para alguém no WhatsApp, por exemplo. Muitas vezes, de maneira automática, surge uma pré-visualização do conteúdo. Pode não parecer, mas existe a chance de esse recurso trazer riscos consideráveis aos seus dados.

Pesquisadores de segurança cibernética divulgaram novos riscos de segurança associados a links do tipo. Alguns fazem com que os serviços vazem endereços IP, exponham links enviados por meio de bate-papos criptografados de ponta a ponta e até mesmo baixem desnecessariamente gigabytes de dados em segundo plano, ou seja, escondidos.

“Links compartilhados em bate-papos podem conter informações íntimas, endereçadas apenas aos destinatários”, disseram os pesquisadores Talal Haj Bakry e Tommy Mysk. “Podem ser contas, contratos, registros médicos ou qualquer informação que possa ser confidencial”.

Nesse contexto, aplicativos que dependem de servidores para gerar visualizações de link podem estar violando a privacidade de seus usuários, enviando links compartilhados em um chat privado para seus servidores.

Visualizações Venenosas

Embora aplicativos como Signal e Wire forneçam aos usuários a opção de ativar e desativar as visualizações de link, outros simplesmente não geram visualizações de link – como Threema, TikTok e WeChat.

Os aplicativos que geram as visualizações fazem isso no lado do remetente ou do destinatário. Outra opção é usar um servidor externo, enviando os dados para o remetente e o destinatário.
Visualizações de link do lado do remetente – usadas no Apple iMessage, Signal (se a configuração estiver ativada), Viber e WhatsApp do Facebook – funcionam primeiramente baixando o link. Depois, criam a imagem de visualização e resumo, que é então enviada ao destinatário como se fosse um anexo. Quando o aplicativo do outro lado recebe a visualização, exibe a mensagem sem abrir o link, protegendo assim o destinatário de conteúdos maliciosos.

Em contrapartida, as visualizações de link geradas no lado do destinatário abrem a porta para novos riscos. Assim, permitem a um cracker descobrir sua localização aproximada, simplesmente enviando um link para um servidor sob seu controle.

Isso ocorre porque o aplicativo de mensagens, ao receber uma mensagem com um link, abre a URL automaticamente para criar a visualização, divulgando o endereço IP do telefone na solicitação enviada ao servidor.

O Reddit Chat, e também um outro aplicativo não divulgado – que está em processo de consertar o problema – seguem essa abordagem, de acordo com os pesquisadores.

Do lado de fora

Ao mesmo tempo que evita o problema de vazamento de endereço IP, o uso de um servidor externo para gerar visualizações traz novos problemas; o servidor usado para gerar a visualização retém uma cópia. Eis então a questão: por quanto tempo a cópia fica ativa? E para o que mais é usada?

Vários aplicativos, incluindo Discord, Facebook Messenger, Google Hangouts, Instagram, LINE, LinkedIn, Slack, Twitter e Zoom se enquadram nesta categoria. E nenhum tem avisos do tipo “os servidores estão baixando tudo o que encontram em um link”.

Além do mais, apesar do recurso de criptografia ponta a ponta do LINE – projetado para evitar que terceiros espionem conversas – a dependência do aplicativo em um servidor externo para gerar visualizações de link permite que os servidores LINE saibam tudo sobre os links que estão sendo enviados, bem como a identidade de quem está compartilhando quais links – e para quem.

Os pesquisadores também descobriram que era possível executar códigos maliciosos em servidores de visualização de link, resultando em um link de código JavaScript compartilhado no Instagram ou LinkedIn para fazer com que seus servidores executassem o código. “Testamos isso enviando um link para um site em nosso servidor que continha um código JavaScript que simplesmente fazia uma chamada de retorno para nosso servidor”, disseram eles. “Pudemos confirmar que tínhamos pelo menos 20 segundos de tempo de execução nesses servidores”.

Privacidade e segurança em xeque

Bakry e Mysk já expuseram falhas no TikTok que possibilitavam aos invasores exibir vídeos falsos. Isso inclui aqueles de contas verificadas, redirecionando o aplicativo para um servidor falso que hospeda uma coleção de vídeos fake. No início de março, a dupla também descobriu uma preocupante invasão de privacidade por cerca de 50 aplicativos iOS que acessavam dados dos usuários sem a devida permissão.

Isso levou a Apple a introduzir uma nova configuração no iOS 14, que alerta os usuários toda vez que um aplicativo tenta copiar informações da área de transferência – além de adicionar uma nova permissão que protege a área de transferência do acesso indevido por aplicativos de terceiros.

Em suma, as visualizações de link são um bom recurso, no qual os usuários geralmente têm benefícios reais. Contudo, existe uma ampla gama de problemas que esse recurso pode ter quando questões de privacidade e segurança não são consideradas cuidadosamente. Como várias facilidades trazidas pela internet, possuem dois lados. Cabe aos criadores dos aplicativos oferecerem apenas o lado bom – algo que é mais fácil falar do que fazer, já que o cibercrime nunca descansa.

This post is also available in: Português

Campanha de phishing imita alertas do Microsoft Teams

Postagem anterior