Home Privacidad Hay aplicaciones que comprometen al usuario aprovechando los previews

Hay aplicaciones que comprometen al usuario aprovechando los previews

52
1

Enviás un mensaje privado, debería ir encriptado de punto a punto, pero en el mismo se te ocurrió incluir un enlace. Tu app preferida convierte ese enlace en un “preview” para mostrarte qué hay del otro lado, puede ser una imagen, un video, un .zip de 20GB, ¿Qué hace al respecto? Lo descarga todo.

Es decir, sin que uno quiera descargarlo un servidor hace una copia de eso que te han comentado, sea porno, un Office completo con crack o las fotos de tu boda, da igual, lo descargará, analizará qué hay dentro y consumirá el doble del ancho de banda para aquél enlace compartido.

Hay varios problemas en este escenario empezando por el primero: privacidad.

¿Por qué debería analizar el contenido de un mensaje privado? Si el mensaje era tan privado y encriptado como las plataformas suelen hacerle creer a sus usuarios entonces no se podría conocer el contenido, si se muestra preview ¿Por qué interviene un servidor? Esta misma pregunta se hicieron dos analistas, Talal Haj Bakry y Tommy Mysk, y consiguieron dar con ciertas particularidades de los sistemas de comunicación más usados.

Tengan en cuenta que uno puede compartir un enlace que sólo sea para que lo vea una persona, no todo Facebook, por ejemplo un excel con tus datos impositivos y gastos de cuenta, el enlace puede ser abierto (al fin y al cabo es para compartirlo) pero eso no lo hace menos privado y es una forma recurrente de la gente para compartir información privada (aunque sea inseguro).

Facebook lo descargará y analizará su contenido. Así de simple. No es el único que lo hace, el peor parece ser Instagram, en sus pruebas confirman que este último se descarga una “foto” de 2.6GB, que es una ISO de Ubuntu renombrada a ubuntu.png. Es entendible que lo haga por el preview pero esto no termina aquí.

https://www.youtube.com/watch?v=IyTxNHy1Wd0

En el segundo video podemos ver cómo también… ejecuta javascript. Esto es muy curioso y un potencial de errores muy fuerte. Podría usarse para realizar ataques de denegación de servicio simplemente enviando spam a muchos usuarios con urls del servidor a atacar encapsuladas en javascript, el server de Instagram ejecutaría este código localmente y dispararía una descarga en el server víctima. Tan sólo una idea del mal uso que se podría dar.

LinkedIn parece limitarse a 50Mb, Line, que dice ofrecer encripción punto a punto, abre los enlaces también para formar el preview… punto a punto? Tan encriptado no está porque el preview no se genera en el cliente sino en un servidor de Line.

Discord, Google Hangouts, Slack, Twitter, y Zoom copian archivos entre 15Mb y 50Mb, por su parte Signal, Threema, TikTok, y WeChat con los únicos que permiten evitar los previews y no analizar nada. Así que tengan en cuenta que puede que su sistema de mensajería, tal vez sin quererlo y por ofrecerte una funcionalidad de preview, compromete lo que estés enviando por ese medio por más “privado” que diga ser.

 

1 COMMENT

LEAVE A REPLY

Please enter your comment!
Please enter your name here