Attenti alle anteprime dei link nei messaggi: a rischio privacy, sicurezza, batteria e traffico dati

Attenti alle anteprime dei link nei messaggi: a rischio privacy, sicurezza, batteria e traffico dati

Le anteprime dei collegamenti all'interno dei messaggi dei sistemi di chat possono porre dei problemi di sicurezza e privacy a seconda del processo che usano per esplorare il contenuto dei link

di pubblicata il , alle 08:53 nel canale Sicurezza
InstagramFacebookWeChatTikTokLinkedIn
 

Le anteprime dei link sono una funzionalità presente in praticamente tutte le app di chat e messaggistica, e rappresentano un'indiscutibile utilità: rendono più agevoli le conversazioni tra le parti, visualizzando una porzione di testo e immagini relative a ciò che si sta condividendo. Una funzionalità che però nasconde qualche lato oscuro e ci espone al rischio di far trapelare dati sensibili, consumare inavvertitamente traffico dati, pesare sulla batteria e anche esporre collegamenti nelle chat che dovrebbero essere crittografati end-to-end.

Anteprime dei collegamenti: a rischio la privacy

E' quanto scoperto dai ricercatori di sicurezza Talal Haj Bakry e Tommy Mysk, i quali hanno effettuato uno studio sul comportamento di vari sistemi e app di messaggistica indagando in particolare il modo in cui gestiscono le anteprime dei collegamenti. Oggetto dello studio sono stati diversi sistemi di messaggistica, ma quelli di Facebook, Instagram, LinkedIn e Line sono stati capaci di mettersi in luce in maniera particolarmente negativa.

Cosa accade, normalmente, quando si condivide un collegamento all'interno di un messaggio? L'app di messaggistica visualizza una piccola anteprima associata al link che contiene un'immagine e una porzione di testo. Perché ciò possa succedere l'app deve andare ad esplorare il collegamento e controllare cosa contiene. Si tratta di un comportamento che può esporre l'utente ad attacchi anche gravi, come ad esempio il download indesiderato di malware. Ma i possibili usi dannosi di questo tipo di meccanismo possono essere anche più fantasiosi, come ad esempio costringere l'app a scaricare file così grandi da causare un arresto anomalo, l'esaurimento delle batterie o il consumo del proprio pacchetto di traffico mobile. E non finisce qui: se il collegamento conduce a documenti privati, come può accadere ad esempio nel caso di un link verso un servizio di cloud storage come OneDrive, Google Drive o Dropbox, il server dell'app può visualizzarlo e archiviarlo a tempo indeterminato.


Analisi comparata dell'anteprima dei collegamenti per i vari sistemi di messaggistica. Fonte: Mysk

Secondo le analisi effettuate dai due ricercatori, Facebook e Instagram vanno a scaricare integralmente il contenuto del collegamento, che si tratti di una pagina web o di un file, senza alcun limite sulle sue eventuali dimensioni. Ed entrambe le app vanno inoltre ad eseguire qualsiasi eventuale JavaScript contenuto nel collegamento: si tratta di un comportamento potenzialmente rischioso perché gli utenti non hanno modo di controllare la sicurezza di questo aspetto e difficilmente le app di messaggistica possono vantare le stesse contromisure che sono proprie dei browser web moderni. LinkedIn ha mostrato un comportamento leggermente più "discreto", limitandosi a scaricare solamente i primi 50MB del contenuto del collegamento. Mentre Line quando incontra un collegamento, lo invia al server per avere un'anteprima, violando il principio della crittografia end-to-end poiché in questo modo i server di Line possono conoscere i collegamenti che vengono inviati tramite l'app.

TikTok e WeChat si comportano meglio di altri

Altre app come Discord, Google Hangouts, Slack, Twitter e Zoom limitano invece la quantità di dati da scaricare tra i 15MB e i 50MB, mentre invece Signal, Threema, TikTok e WeChat permettono agli utenti di scegliere se visualizzare l'anteprima del link ricevuto in un messaggio, che si rivela l'impostazione migliore per gli utenti che desiderano la massima privacy possibile.

"Ogni volta che si crea una nuova funzionalità è necessario tenere a mente che tipo di implicazioni potrebbe avere per privacy e sicurezza, soprattutto se è una funzione destinata a migliaia o milioni di persone in tutto il mondo. Le anteprime dei link sono una funzionalità comoda che gli utenti generalmente trovano utile, ma qui abbiamo mostrato quale genere di problemi vi possano essere quando gli aspetti di privacy e sicurezza non vengono considerati con attenzione" sottolineano i due ricercatori.

5 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
djfix1328 Ottobre 2020, 09:41 #1
non si menziona whatsapp ma essendo di Facebook immagino ragioni allo stesso modo
sbeng28 Ottobre 2020, 10:39 #2
Siamo tornati indietro nel tempo quando se non erro era Outlook che aveva questo problema delle anteprime.
Saturn28 Ottobre 2020, 10:59 #3
Originariamente inviato da: sbeng
Siamo tornati indietro nel tempo quando se non erro era Outlook che aveva questo problema delle anteprime.


E no...! Verissimo...mi hai appena riportato indietro di vent'anni ! Outlook Express se non ricordo male, quello integrato nel sistema operativo.
zappy28 Ottobre 2020, 11:05 #4
Originariamente inviato da: djfix13
non si menziona whatsapp ma essendo di Facebook immagino ragioni allo stesso modo

no.
c'è nella tabella comparativa e sembra tutto "verde".
piuttosto manca telegram.
Marko_00128 Ottobre 2020, 22:16 #5
il problema in Outlook (ed anche negli altri dell'epoca)
c'era sino all'inizio 2000 ed era dovuto al fatto
che, se la e-mail era in HTML e conteneva del codice
dannoso che si attiva alla visualizzazione,
l'anteprima del messaggio attivava il codice.
poi si sono accordati in modo che non succedesse.
ora il problema è nel click sui link
che le e-mail contengono
e qui non c'è lettore di posta che tenga, tutti uguali.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^