Un estudio muestra qué mensajeros filtran sus datos, agotan la batería y más


Fotografía de Stock de hombre con smartphone.

Las vistas previas de enlaces son una característica omnipresente que se encuentra en casi todas las aplicaciones de chat y mensajería, y con razón. Facilitan las conversaciones en línea al proporcionar imágenes y texto asociados con el archivo que se está vinculando.

Desafortunadamente, también pueden filtrar nuestros datos confidenciales, consumir nuestro ancho de banda limitado, agotar nuestras baterías y, en un caso, exponer enlaces en chats que se supone que están cifrados de extremo a extremo. Entre los peores infractores, según investigación publicada el lunes, eran mensajeros de Facebook, Instagram, LinkedIn y Line. Más sobre eso en breve. Primero, una breve discusión de los avances.

Cuando un remitente incluye un enlace en un mensaje, la aplicación mostrará la conversación junto con el texto (generalmente un título) y las imágenes que acompañan al enlace. Por lo general, se parece a esto:

Para que esto suceda, la aplicación en sí, o un proxy designado por la aplicación, tiene que visitar el enlace, abrir el archivo allí y examinar su contenido. Esto puede exponer a los usuarios a ataques. Los más graves son los que pueden descargar malware. Otras formas de malicia pueden obligar a una aplicación a descargar archivos tan grandes que provocan que la aplicación se bloquee, agote las baterías o consuma cantidades limitadas de ancho de banda. Y en caso de que el enlace lleve a materiales privados, por ejemplo, una declaración de impuestos publicada en una cuenta privada de OneDrive o DropBox, el servidor de la aplicación tiene la oportunidad de verlos y almacenarlos indefinidamente.

Los investigadores detrás del informe del lunes, Talal Haj Bakry y Tommy Mysk, encontraron que Facebook Messenger e Instagram eran los peores infractores. Como muestra el cuadro siguiente, ambas aplicaciones descargan y copian un archivo vinculado en su totalidad, incluso si tiene un tamaño de gigabytes. Nuevamente, esto puede ser una preocupación si el archivo es algo que los usuarios desean mantener en privado.

Vistas previas de enlaces: los servidores de Instagram descargan cualquier enlace enviado en mensajes directos, incluso si tiene 2.6GB.

También es problemático porque las aplicaciones pueden consumir grandes cantidades de ancho de banda y reservas de batería. Ambas aplicaciones también ejecutan cualquier JavaScript contenido en el enlace. Eso es un problema porque los usuarios no tienen forma de examinar la seguridad de JavaScript y no pueden esperar que los mensajeros tengan las mismas protecciones contra exploits que tienen los navegadores modernos.

Vistas previas de enlaces: cómo los piratas informáticos pueden ejecutar cualquier código JavaScript en los servidores de Instagram.

Haj Bakry y Mysk informaron sus hallazgos a Facebook, y la compañía dijo que ambas aplicaciones funcionan según lo previsto. LinkedIn funcionó solo un poco mejor. Su única diferencia era que, en lugar de copiar archivos de cualquier tamaño, copiaba solo los primeros 50 megabytes.

Mientras tanto, cuando la aplicación Line abre un mensaje cifrado y encuentra un enlace, parece enviar el enlace al servidor Line para generar una vista previa. “Creemos que esto frustra el propósito del cifrado de extremo a extremo, ya que los servidores de LINE saben todo sobre los enlaces que se envían a través de la aplicación y quién comparte qué enlaces a quién”, escribieron Haj Bakry y Mysk.

Discord, Google Hangouts, Slack, Twitter y Zoom también copian archivos, pero limitan la cantidad de datos entre 15 MB y 50 MB. El cuadro a continuación ofrece una comparación de cada aplicación del estudio.

Talal Haj Bakry y Tommy Mysk

Con todo, el estudio es una buena noticia porque muestra que la mayoría de las aplicaciones de mensajería están haciendo las cosas bien. Por ejemplo, Signal, Threema, TikTok y WeChat brindan a los usuarios la opción de no recibir una vista previa del enlace. Para los mensajes y usuarios verdaderamente sensibles que desean la mayor privacidad posible, esta es la mejor configuración. Incluso cuando se proporcionan vistas previas, estas aplicaciones utilizan medios relativamente seguros para representarlas.

Latest articles

Bolsonaro quiere reducir el presupuesto de protección ambiental (26 de enero de 2021)

Informe diario de América Latina: Bolsonaro quiere reducir el presupuesto de protección ambiental (26 de enero de 2021)

Un entrenador de Washington llega por primera vez a las mujeres negras en la NFL

Estableció el Women's Careers in Football Forum, un evento anual que se lleva a cabo junto con la combinación de scouting de la...

Cómo los Bitcoiners deberían ver la reunión de la Reserva Federal de los Estados Unidos el miércoles

Es el debate que la Reserva Federal aún no está preparada para tener: cómo evitar que la inflación se salga de control una...

Iranian government reportedly moving to block Signal messaging app

Se informa que Signal está siendo atacada por las autoridades iraníes, ya que aumenta el interés en medio de especulaciones de que el...
31.5k Followers
Follow

Related articles

Leave a reply

Please enter your comment!
Please enter your name here

Translate »