Las vistas previas de enlaces son una característica omnipresente que se encuentra en casi todas las aplicaciones de chat y mensajería, y por una buena razón. Facilitan las conversaciones en línea al proporcionar imágenes y texto asociado con el archivo que se vincula.
Desafortunadamente, también pueden filtrar nuestros datos confidenciales, consumir nuestro ancho de banda limitado, agotar nuestras baterías y, en un caso, exponer enlaces en chats que se supone que están encriptados de extremo a extremo. Entre los peores infractores, según una investigación publicada el lunes, se encuentran los mensajeros de Facebook, Instagram, LinkedIn y Line. Más sobre eso en breve. Primero una breve discusión de las vistas previas.
Cuando un remitente incluye un enlace en un mensaje, la aplicación mostrará la conversación junto con el texto (generalmente un título) y las imágenes que acompañan al enlace. Por lo general, se ve algo como esto:
Para que esto suceda, la propia aplicación, o un proxy designado por la aplicación, debe visitar el enlace, abrir el archivo allí y examinar lo que contiene. Esto puede exponer a los usuarios a ataques. Los más graves son los que pueden descargar malware. Otras formas de malicia podrían obligar a una aplicación a descargar archivos tan grandes que hacen que la aplicación se bloquee, agote las baterías o consuma cantidades limitadas de ancho de banda. Y en caso de que el enlace conduzca a materiales privados, por ejemplo, una declaración de impuestos publicada en una cuenta privada de OneDrive o DropBox, el servidor de la aplicación tiene la oportunidad de verlo y almacenarlo indefinidamente.
Los investigadores detrás del informe del lunes, Talal Haj Bakry y Tommy Mysk, encontraron que Facebook Messenger e Instagram eran los peores infractores. Como muestra el cuadro a continuación, ambas aplicaciones descargan y copian un archivo vinculado en su totalidad, incluso si tiene un tamaño de gigabytes. Nuevamente, esto puede ser una preocupación si el archivo es algo que los usuarios desean mantener en privado.
Vistas previas de enlaces: los servidores de Instagram descargan cualquier enlace enviado en mensajes directos, incluso si es de 2,6 GB.
También puede ser problemático porque la aplicación de Instagram hace que cualquier JavaScript conectado al enlace se ejecute en el servidor de vista previa. A continuación se muestra un video de este suceso.
https://www.youtube.com/watch?v=IyTxNHy1Wd0
Vistas previas de enlaces: cómo los piratas informáticos pueden ejecutar cualquier código JavaScript en los servidores de Instagram.
Haj Bakry y Mysk informaron sus hallazgos a Facebook, y la compañía dijo que ambas aplicaciones funcionan según lo previsto. El propietario de Instagram, Facebook, dijo en un correo electrónico que sus servidores descargan solo una versión reducida de una imagen, no el archivo original, y que la empresa no almacena esos datos. El correo electrónico también decía que sus servidores ejecutan el JavaScript para examinar su seguridad. Mysk, sin embargo, dijo que el video demuestra que Instagram descargó un archivo de 2,6 GB (una ISO de Ubuntu con el archivo renombrado como ubuntu.png) en su totalidad. También señaló que la mayoría de los otros mensajeros eliminan JavaScript en lugar de descargarlo y ejecutarlo en sus servidores.
LinkedIn se desempeñó solo un poco mejor. Su única diferencia era que, en lugar de copiar archivos de cualquier tamaño, copiaba solo los primeros 50 megabytes.
Mientras tanto, cuando la aplicación Line abre un mensaje encriptado y encuentra un enlace, parece enviar el enlace al servidor Line para generar una vista previa. “Creemos que esto anula el propósito del cifrado de extremo a extremo, ya que los servidores de LINE saben todo sobre los enlaces que se envían a través de la aplicación y quién comparte qué enlaces con quién”, escribieron Haj Bakry y Mysk.
Discord, Google Hangouts, Slack, Twitter y Zoom también copian archivos, pero limitan la cantidad de datos entre 15 MB y 50 MB. El siguiente cuadro proporciona una comparación de cada aplicación en el estudio.
Talal Haj Bakry y Tommy Mysk
Con todo, el estudio es una buena noticia porque muestra que la mayoría de las aplicaciones de mensajería están haciendo las cosas bien. Por ejemplo, Signal, Threema, TikTok y WeChat ofrecen a los usuarios la opción de no recibir una vista previa del enlace. Para mensajes verdaderamente confidenciales y usuarios que desean la mayor privacidad posible, esta es la mejor configuración. Incluso cuando se proporcionan vistas previas, estas aplicaciones utilizan medios relativamente seguros para representarlas.
Aún así, la publicación del lunes es un buen recordatorio de que los mensajes privados no siempre son, bueno, privados.
“Cada vez que esté creando una nueva función, tenga siempre en cuenta qué tipo de implicaciones de privacidad y seguridad puede tener, especialmente si esta función será utilizada por miles o incluso millones de personas en todo el mundo”, escribieron los investigadores. «Las vistas previas de enlaces son una buena función de la que los usuarios generalmente se benefician, pero aquí mostramos la amplia gama de problemas que esta función puede tener cuando las preocupaciones de privacidad y seguridad no se consideran cuidadosamente».
Publicación actualizada el 27/10/2023, 3:47 hora de California para corregir los detalles en el sexto párrafo.
