Los investigadores demuestran cómo las vistas previas de enlaces en aplicaciones pueden exponer datos de los usuarios

Casi todas las aplicaciones de mensajería populares ofrecen vistas previas de enlaces, que permiten a los usuarios conocer el contenido de una URL por adelantado. Sin embargo, los investigadores de seguridad Talal Haj Bakry y Tommy Mysk han descubierto que estas vistas previas de enlaces pueden exponer datos de usuario tanto en aplicaciones iOS como Android.

Cuando envía un enlace a través de una aplicación de mensajería como Messenger, WhatsApp e incluso iMessage, la aplicación genera una vista previa de ese enlace que generalmente contiene una imagen, un título y, a veces, un texto breve. Aunque esta es una característica extremadamente útil, Bakry y Mysk han planteado algunas preocupaciones de privacidad al respecto.

Demos un paso atrás y pensemos en cómo se genera una vista previa. ¿Cómo sabe la aplicación qué mostrar en el resumen? De alguna manera debe abrir automáticamente el enlace para saber qué hay dentro. ¿Pero es eso seguro? ¿Qué pasa si el enlace contiene malware? ¿O qué pasa si el enlace conduce a un archivo muy grande que no desea que la aplicación descargue y use sus datos?

Los investigadores explican que existen diferentes formas de generar estas vistas previas y que algunos métodos son más seguros que otros. iMessage y WhatsApp, por ejemplo, obtienen el contenido de una URL justo cuando se la envía a otra persona. Esto probablemente significa que usted sabe lo que se está compartiendo y también que la otra persona obtendrá una vista previa generada por usted.

Reddit y otras aplicaciones, por otro lado, generan la vista previa en el dispositivo del receptor. Una vez que recibe un enlace en estas aplicaciones, abren la URL en segundo plano y luego generan un enlace de vista previa. En este método, una persona desconocida puede enviarle un enlace malicioso que recopila datos de su dispositivo, como la dirección IP de su teléfono y, en consecuencia, su ubicación aproximada.

Sin embargo, existe un tercer enfoque que puede poner en peligro sus datos personales. Como han señalado los investigadores, aplicaciones como Discord, Messenger, Instagram y Twitter generan estas vistas previas de enlaces en un servidor remoto en lugar de los dispositivos remitentes y receptores. Para los usuarios, eso significa que estos mensajes URL no están cifrados de un extremo a otro, por lo que cualquier persona con acceso a estos servidores puede ver el contenido del chat.

También descubrieron que algunas de estas aplicaciones generan y descargan vistas previas automáticamente, incluso si es un archivo grande. Facebook Messenger, por ejemplo, puede descargar un archivo de hasta 20 MB sin la interacción del usuario, lo que parece innecesario para mostrar imágenes y texto. Y, por supuesto, eso también significa que sus archivos personales se almacenan en los servidores de estas empresas sin cifrado ya que las vistas previas se generan en línea.

Entonces, ¿ese documento de diseño secreto al que compartió un enlace desde su OneDrive y pensó que lo había eliminado porque ya no quería compartirlo? Puede que haya una copia en uno de estos servidores de vista previa de enlaces.

En una de sus pruebas, los investigadores pudieron obtener las direcciones IP de los receptores simplemente enviando enlaces a través de estas aplicaciones que descargan automáticamente los enlaces de vista previa. También advierten que, en algunos casos, las páginas web pueden incluso ejecutar código JavaScript malicioso a través de estas vistas previas.

El equipo se puso en contacto con los desarrolladores de las aplicaciones mencionadas en el artículo para comprobar cómo planean hacer que las vistas previas de los enlaces sean más seguras. Hasta entonces, puede consultar la investigación completa en detalle en El blog de Mysk.

Consulte 9to5Mac en YouTube para obtener más noticias de Apple: