Autor del artículo
Daniel Cepeda
Autor y especialista técnico en plataformas móviles.
Artículos escritos
71

Descubre qué mensajeros están filtrando tus datos, agotando tu batería y consumiendo tráfico de Internet

Last Updated on enero 10, 2022 by Daniel Cepeda

La vista previa de los enlaces es innegablemente útil. Sin embargo, también puede comprometer su privacidad y seguridad.

La previsualización de enlaces (o vista previa) es una función que se encuentra en casi todas las aplicaciones de mensajería modernas, y no sólo allí.

Simplifica las conversaciones en línea mostrando una breve descripción del sitio, una miniatura de la imagen o proporcionando tanto la imagen como el texto asociado al archivo al que apunta el enlace.

Desgraciadamente, también pueden regalar nuestros datos sensibles, consumir Internet, agotar la batería de los smartphones e incluso abrir enlaces en chats cifrados de extremo a extremo.

Según un estudio publicado el lunes, las infracciones más graves se produjeron en los servicios de mensajería de Facebook (quién lo iba a decir), Instagram, LinkedIn y Line.

¿Cómo funciona la vista previa?

Cuando un remitente incluye un enlace en un mensaje, la aplicación lo acompaña de un encabezado, un texto breve y una imagen. Esto suele ser algo así:

Para que esto ocurra, la propia aplicación, o su proxy designado, tiene que seguir el enlace, abrir el archivo o sitio web y averiguar qué contiene. Y esto es precisamente lo que hace que los usuarios sean vulnerables a los ataques.

Las mayores amenazas provienen de aquellas aplicaciones que permiten la descarga de malware, mientras que otras pueden hacer que se descarguen archivos tan grandes que provoquen el fallo de la aplicación, agoten la batería o consuman el limitado ancho de banda de Internet.

Y si el enlace conduce a material privado -como una declaración de la renta publicada en una cuenta privada de OneDrive o DropBox- el servidor de la aplicación puede verlo y almacenarlo indefinidamente.

Los investigadores Talal Hajj Bakri y Tommy Mysk, que elaboraron el informe , descubrieron que Facebook Messenger e Instagram son los que más infracciones presentan.

Como se muestra en el siguiente vídeo, ambas aplicaciones descargan y copian el archivo vinculado en su totalidad, aunque se mida en gigabytes.

Y esto puede ser un problema si los usuarios quieren mantener el archivo enviado en privado.

Los servidores de Instagram descargan cualquier enlace enviado en mensajes privados, aunque sea de 2,6 GB.

Al descargar estos archivos adjuntos, las aplicaciones pueden consumir enormes cantidades de tráfico de Internet y de batería.

Ambas aplicaciones también ejecutan cualquier JavaScript contenido en el enlace. El problema es que los usuarios no tienen forma de comprobar la seguridad del código JavaScript del sitio, y no pueden esperar que los mensajeros tengan la misma protección antiexplotación que los navegadores modernos.

Los hackers pueden ejecutar cualquier código JavaScript en los servidores de Instagram.

Hajj Bakri y Mysk informaron de sus hallazgos a la propia Facebook, pero la empresa dijo que ambas aplicaciones funcionaban correctamente.

LinkedIn obtuvo resultados ligeramente mejores. La única diferencia era que en lugar de copiar archivos de cualquier tamaño, sólo copiaba los primeros 50 megabytes.

Mientras tanto, cuando la aplicación de Line abre un mensaje cifrado y encuentra un enlace, lo envía al servidor de la empresa para crear una vista previa.

Talal Haj Bakry
Desarrollador principal de iOS en NuraLogix Corporation
Creemos que esto anula el propósito del cifrado de extremo a extremo, ya que los servidores de LINE saben todo sobre los enlaces que se envían a través de la aplicación y quién envía qué enlaces y a quién.

Discord, Google Hangouts, Slack, Twitter y Zoom también copian archivos, pero limitan la cantidad de datos a entre 15 y 50 MB.

La siguiente tabla ofrece una comparación de cada aplicación incluida en el estudio.

de cada aplicación incluida

En general, el estudio es una buena noticia, ya que demuestra que la mayoría de las aplicaciones de mensajería funcionan correctamente.

Por ejemplo, Signal, Threema, TikTok y WeChat dan a los usuarios la opción de no recibir vistas previas de los enlaces.

Para los mensajes realmente confidenciales y los usuarios que quieren la máxima privacidad, estas son las mejores opciones.

Al fin y al cabo, aunque haya una vista previa en ella, estas aplicaciones utilizan medios relativamente seguros para renderizarlas. Por desgracia, Tommy y Hudge no incluyeron a Telegram en su estudio.

Anteriormente
NoticiasUna vulnerabilidad permite el envío de correos electrónicos de phishing desde Uber.com
Siguiente
NoticiasUna vulnerabilidad en macOS provoca una fuga de datos
Malas.
0
Bien.
0
Genial.
2
Añade un comentario