LinkedIn e Instagram son vulnerables a los problemas de seguridad de RCE de Preview-Link

Investigadores de ciberseguridad durante el fin de semana pasado revelaron nuevos riesgos de seguridad asociados con las vistas previas de enlaces en aplicaciones de mensajería populares que hacen que los servicios filtren direcciones IP, expongan enlaces enviados a través de chats cifrados de extremo a extremo e incluso descarguen innecesariamente gigabytes de datos de forma […]

Investigadores de ciberseguridad durante el fin de semana pasado revelaron nuevos riesgos de seguridad asociados con las vistas previas de enlaces en aplicaciones de mensajería populares que hacen que los servicios filtren direcciones IP, expongan enlaces enviados a través de chats cifrados de extremo a extremo e incluso descarguen innecesariamente gigabytes de datos de forma sigilosa en segundo plano.

“Los enlaces compartidos en los chats pueden contener información privada destinada únicamente a los destinatarios”, dijeron los investigadores Talal Haj Bakry y Tommy Mysk .

“Pueden ser facturas, contratos, registros médicos o cualquier cosa que pueda ser confidencial”.

“Las aplicaciones que dependen de los servidores para generar vistas previas de enlaces pueden violar la privacidad de sus usuarios al enviar enlaces compartidos en un chat privado a sus servidores”.

Generación de vistas previas de enlaces en el lado del remitente / receptor

Las vistas previas de enlaces son una característica común en la mayoría de las aplicaciones de chat, lo que facilita la visualización de una vista previa visual y una breve descripción del enlace compartido.

Aunque aplicaciones como Signal y Wire brindan a los usuarios la opción de activar / desactivar las vistas previas de enlaces, algunas otras como Threema, TikTok y WeChat no generan una vista previa de enlaces en absoluto.

Las aplicaciones que generan las vistas previas lo hacen al final del remitente o del destinatario o mediante un servidor externo que luego se envía de vuelta tanto al remitente como al destinatario.

Las vistas previas de enlaces del lado del remitente, utilizadas en Apple iMessage, Signal (si la configuración está activada), Viber y WhatsApp de Facebook, funcionan al descargar el enlace, seguido de la creación de la imagen de vista previa y el resumen, que luego se envía al destinatario como un adjunto archivo. Cuando la aplicación en el otro extremo recibe la vista previa, muestra el mensaje sin abrir el enlace, protegiendo así al usuario de enlaces maliciosos.

Por el contrario, las vistas previas de enlaces generadas en el lado del destinatario abren la puerta a nuevos riesgos que permiten a un mal actor medir su ubicación aproximada sin que el receptor realice ninguna acción simplemente enviando un enlace a un servidor bajo su control.

Esto sucede porque la aplicación de mensajería, al recibir un mensaje con un enlace, abre la URL automáticamente para crear la vista previa al revelar la dirección IP del teléfono en la solicitud enviada al servidor.

Uso de un servidor externo para generar vistas previas de enlaces

Varias aplicaciones, contando Discord, Facebook Messenger, Google Hangouts, Instagram, LINE, LinkedIn, Slack, Twitter y Zoom, entran en esta categoría, sin ninguna indicación para los usuarios de que “los servidores están descargando lo que encuentran en un enlace”.

La prueba de estas aplicaciones reveló que, a excepción de Facebook Messenger e Instagram, todas las demás impusieron un límite de 15 a 50 MB cuando se trata de los archivos descargados por sus respectivos servidores. Slack, por ejemplo, almacena en caché las vistas previas de enlaces durante unos 30 minutos.

Se encontró que los valores atípicos, Facebook Messenger e Instagram, descargaban archivos completos, incluso si tenían un tamaño de gigabytes (como un archivo de 2.6GB), que según Facebook, es una característica prevista.

Incluso entonces, advierten los investigadores, esto podría ser una “pesadilla de privacidad” si los servidores retienen una copia y “alguna vez hay una violación de datos de estos servidores”.