Un nouveau rapport par les chercheurs en sécurité Talal Haj Bakry et Tommy Mysk, a révélé que les aperçus de liens dans les applications de messagerie peuvent entraîner des problèmes de sécurité et de confidentialité sur iOS et Android. Grâce aux aperçus de liens, Bakry et Mysk ont découvert que les applications pouvaient divulguer des adresses IP, exposer des liens envoyés dans des discussions cryptées de bout en bout, télécharger des fichiers volumineux sans le consentement des utilisateurs et copier des données privées.
comment demander un site de bureau iphone
Les aperçus de liens offrent un aperçu du contenu tel que des pages Web ou des documents dans de nombreuses applications de messagerie. La fonctionnalité permet aux utilisateurs de voir un bref résumé et une image de prévisualisation en ligne avec le reste de la conversation sans avoir à appuyer sur le lien.
Des applications telles que iMessage et WhatsApp garantissent que l'expéditeur génère l'aperçu, ce qui signifie que le destinataire est protégé contre les risques si le lien est malveillant. En effet, le résumé et l'image d'aperçu sont créés sur l'appareil de l'expéditeur et envoyés en pièce jointe. L'appareil du destinataire affichera l'aperçu tel qu'il a été transmis par l'expéditeur sans avoir à ouvrir le lien. Les applications qui ne génèrent pas du tout d'aperçu de lien, telles que TikTok et WeChat, ne sont pas non plus affectées.
Le problème survient lorsque le récepteur génère l'aperçu du lien, car l'application ouvrira automatiquement le lien en arrière-plan pour créer l'aperçu. Cela se produit avant même que les utilisateurs n'appuient sur le lien, les exposant potentiellement à du contenu malveillant. Des applications telles que Reddit génèrent des liens de cette manière.
Par exemple, un acteur malveillant pourrait envoyer un lien vers son propre serveur. Lorsque l'application du récepteur ouvre automatiquement le lien en arrière-plan, elle envoie l'adresse IP de l'appareil au serveur, révélant son emplacement.
Cette approche peut également causer des problèmes si le lien pointe vers un fichier volumineux, après quoi l'application peut tenter de télécharger l'intégralité du fichier, ce qui épuise la durée de vie de la batterie et hémorra les limites du plan de données.
Les aperçus de liens peuvent également être générés sur un serveur externe, et c'est ainsi que fonctionnent de nombreuses applications populaires telles que Discord, Facebook Messenger, Google Hangouts, Instagram, LinkedIn, Slack, Twitter et Zoom. Dans ce cas, l'application enverra d'abord le lien à un serveur externe et lui demandera de générer un aperçu, puis le serveur renverra l'aperçu à la fois à l'expéditeur et au destinataire.
macbook air bluetooth ne s'allume pas
Cependant, cela peut constituer une menace pour la sécurité lorsque le contenu du lien envoyé est privé. L'utilisation d'un serveur externe permet à ces applications de créer potentiellement des copies non autorisées d'informations privées et de les conserver pendant un certain temps.
Bien que de nombreuses applications aient mis en place une limite de données sur la quantité de contenu de lien à télécharger, les chercheurs ont découvert que Facebook Messenger et Instagram étaient particulièrement remarquables pour télécharger l'intégralité du contenu de tout lien sur ses serveurs, quelle que soit sa taille. Interrogé sur ce comportement, Facebook aurait déclaré qu'il considérait que cela 'fonctionnait comme prévu'.
Les copies conservées sur des serveurs externes pourraient faire l'objet de violations de données, ce qui peut être particulièrement préoccupant pour les utilisateurs d'applications professionnelles telles que Zoom et Slack, et ceux qui envoient des liens vers des données privées sensibles.
pourquoi les airpods ne se connectent-ils pas à mac
La recherche offre une appréciation de la façon dont la même fonctionnalité exacte peut fonctionner de différentes manières, et comment ces différences peuvent avoir un impact significatif sur la sécurité et la confidentialité. Voir le rapport complet pour plus d'informations.
Tags: cybersécurité , messages
Articles Populaires