Agora até prévias de links em mensageiros podem ser usadas para roubos de dados
Por Felipe Demartini | 27 de Outubro de 2020 às 19h00
As prévias de aplicativos exibidas sempre que um link é enviado por mensageiros pode acabar se transformando em uma brecha para roubar dados pessoais daqueles que os recebem. Pelo menos é o que afirmam os pesquisadores Talal Haj Bakry e Tommy Mysk, que analisaram os métodos usados por diferentes softwares populares e encontraram aberturas que podem expor os usuários de iOS e Android.
- Cuidado: novo golpe usa links maliciosos em games do Facebook para roubar dados
- Alerta: golpes com chaves e cadastros no Pix envolvem até sequestro relâmpago
- De novo! Apple autoriza malware para instalação no macOS
As falhas, de acordo com o relatório emitido por eles, acontecem em aplicativos populares e podem ser ativadas caso o link, em si, seja malicioso, ou representarem brechas na privacidade dos usuários. O primeiro caso é o do Reddit, no qual a prévia é gerada no smartphone de quem recebe o link. Com isso, hackers poderiam utilizar URLs fraudulentas para roubar dados e obter a localização aproximada do receptor. Os especialistas ponderam que esse uso pode ser limitado em termos de dados recebidos, mas ainda assim, pode ser uma exploração usada em conjunto com outras para praticar golpes.
Teoricamente mais segura, só que não, é a solução encontrada no Discord, Instagram e Twitter, nos quais as prévias são geradas em um servidor remoto. Isso faz com que os dados de quem envia e recebe não sejam compartilhados, mas ao mesmo tempo, envia os dados de um link para uma infraestrutura sob o controle de ambos, onde a leitura da URL pode dar acesso a informações sensíveis ou dados pessoais que eles podem não querer compartilhar.
Os pesquisadores apontam ainda o fato de alguns aplicativos realizarem a leitura até mesmo de arquivos maiores, com até 50 MB, mesmo que imagens e textos grandes não sejam exibidos na prévia. A ideia é que o software estaria fazendo uma análise desnecessária, além de armazenar tais informações na nuvem de forma insegura, sem a devida criptografia e de maneira irregular. É o caso de nomes como Messenger, LinkedIn, Slack, Line e Hangouts.
Os especialistas, ainda, apontam para o fato de o download automático de informações poder ser usado para rodar códigos Javascript a partir de páginas maliciosas, no que poderia levar a novos golpes contra os usuários sem que eles nem mesmo precisassem clicar em nada. Não existem, entretanto, informações de tentativas desse tipo; enquanto Mysk e Bakry afirmam estarem em contato com os desenvolvedores dos apps em busca de soluções para os problemas.
O que dizem Facebook, Twitter e outras empresas?
As respostas, porém, são variadas. O Facebook e o Twitter, por exemplo, afirmaram que o que foi descoberto é comportamento “esperado” de suas aplicações, enquanto o Slack disse que as prévias de links ficam armazenadas em seus servidores por apenas 30 minutos. Já o Line acrescentou tornou mais clara sua comunicação quanto ao uso de infraestrutura externa para ler links trocados entre os usuários, enquanto o Zoom se comprometeu a analisar a questão e pensar em novas formas de proteger a privacidade dos consumidores.
Como as prévias de links são um recurso automático, não há muito que os usuários possam fazer por conta própria. Aos desenvolvedores, os pesquisadores pedem mais atenção em recursos desse tipo, que podem parecer simples mas acabam escondendo implicações de segurança que podem levar à exposição de dados ou brechas na privacidade de milhares de pessoas ao redor do mundo.
Fonte: Mysk.blog