É muito prática a prévia que é gerada pelos apps de mensagem quando recebemos um link – mas sua visualização, segundo um estudo publicado pela empresa Mysk, pode levar ao vazamento de informações privadas, consumir toda a bateria do celular e expor informações privadas.
O rol de problemas é de arrepiar: vazamento de endereços IP, exposição de links em bate-papos criptografados e download silencioso de gigabytes de dados em segundo plano. Pior: isso acontece em apps ditos seguros, como Facebook, Instagram (os piores) e LinkedIn.
Para entender como isso acontece, é preciso saber como é gerada a visualização dos links recebidos.
O app precisa abrir o arquivo na origem e ver o que há nele, expondo o usuário ao ataque de malwares ou baixando arquivos gigantescos – o aplicativo então trava, suga toda a energia das baterias e consome nesse download a largura de banda até o limite.
Se o link se referir a informação sensível (como documentos), por exemplo, o servidor do aplicativo visualiza e ainda guarda uma cópia indefinidamente.
Quem está mal na foto
Para os autores do levantamento, os desenvolvedores iOS e pesquisadores de segurança Talal Haj Bakry e Tommy Mysk, os piores apps são o Facebook Messenger e o Instagram. Confira abaixo as falhas dos dois e mais outros aplicativos:
Ao ser comunicado das falhas, o Facebook respondeu aos dois desenvolvedores por email que seus servidores (que rodam o JavaScript para verificar a segurança) baixam apenas uma versão reduzida de uma imagem e não o arquivo original. A empresa alega ainda que não armazena os dados. (Em um vídeo divulgado pela dupla, porém, o Instagram baixou integralmente um arquivo de 2,6 GB).
Quanto à alegação do Facebook sobre a segurança, a Mysk mostrou que a maioria dos apps de mensagens remove o JavaScript em vez de baixá-lo e executá-lo.
Os problemas encontrados foram repassados aos aplicativos; até o momento, somente Line e Reddit corrigiram as falhas.
Fontes
Categorias