Prévias de links em mensageiros podem expor dados do usuário iMessage e WhatsApp estão seguros. Já o Facebook Messenger…

É uma das ações mais comuns do mundo internético: você vê algum conteúdo na web que lhe interesse, copia o link e o envia para algum contato com interesses parecidos por algum mensageiro instantâneo. O problema é que, em alguns aplicativos, essa simples ação pode expôr seus dados a terceiros de uma forma totalmente silenciosa.

Publicidade

A descoberta veio dos pesquisadores de segurança Talal Haj Bakry e Tommy Mysk. Eles perceberam que, de acordo com a forma como o mensageiro lida com a prévia desses links, dados sensíveis do usuário — como o seu endereço IP — podem ser expostos aos servidores do aplicativo. Pior: se um invasor obtiver controle desse app, ele poderá baixar arquivos sem o consentimento do usuário e copiar seus dados.

O iMessage e o WhatsApp são dois exemplos de mensageiros que estão imunes à vulnerabilidade. Isso porque os dois fazem com que a prévia do link seja gerada no próprio dispositivo do usuário — então, quando você envia uma URL para um contato, as informações da página em questão são capturadas no seu próprio aparelho e enviadas ao destinatário como um anexo da sua mensagem. O TikTok e o WeChat também não são vulneráveis, já que não geram prévias e ponto final.

Por outro lado, o problema está no comportamento de mensageiros como o Facebook Messenger, o Twitter, o Instagram, o Slack, o Zoom e o LinkedIn. Nesses casos, os links são enviados a servidores externos onde a prévia será gerada; esses servidores, então, transmitem a prévia para o remetente e para o destinatário. Nesse processo, o endereço IP do usuário fica exposto e, por um período de tempo, é possível capturar dados dos dispositivos e fazer o download de arquivos.

Publicidade

Consultado, o Facebook teria se limitado a informar que o recurso está funcionando como deveria e não apresenta risco real para os usuários. De fato, a princípio, não há muito com o que se preocupar — contanto que você confie na empresa que mantenha aquele serviço, tanto no sentido de não bisbilhotar seus dados quanto no sentido de ela ter uma proteção forte o suficiente para não ser alvo de invasores que possam fazê-lo.

De qualquer forma, fica o aviso: até mesmo ações aparentemente inofensivas podem, às vezes, estar expondo seus dados no vasto e assustador mundo da internet. Fiquemos atentos, portanto.

via MacRumors

Posts relacionados

Comentários

Carregando os comentários…