Les chercheurs démontrent comment les aperçus de lien dans les applications peuvent exposer les données des utilisateurs

Les chercheurs démontrent comment les aperçus de lien dans les applications peuvent exposer les données des utilisateurs

Presque toutes les applications de messagerie populaires offrent des aperçus de liens, qui permettent aux utilisateurs de connaître à l'avance le contenu d'une URL. Cependant, les chercheurs en sécurité Talal Haj Bakry et Tommy Mysk ont ​​découvert que ces aperçus de liens peuvent exposer les données des utilisateurs dans les applications iOS et Android.

Lorsque vous envoyez un lien via une application de messagerie comme Messenger, WhatsApp et même iMessage, l'application génère un aperçu de ce lien qui contient généralement une image, un titre et parfois un court texte. Bien qu'il s'agisse d'une fonctionnalité extrêmement utile, Bakry et Mysk ont ​​soulevé des problèmes de confidentialité à ce sujet.

Prenons du recul et réfléchissons à la manière dont un aperçu est généré. Comment l'application sait-elle ce qu'elle doit afficher dans le résumé? Il doit en quelque sorte ouvrir automatiquement le lien pour savoir ce qu'il contient. Mais est-ce sûr? Et si le lien contient des logiciels malveillants? Ou que se passe-t-il si le lien mène à un fichier très volumineux que vous ne voudriez pas que l'application télécharge et utilise vos données?

Les chercheurs expliquent qu'il existe différentes façons de générer ces aperçus et que certaines méthodes sont plus sûres que d'autres. iMessage et WhatsApp, par exemple, récupèrent le contenu d'une URL directement lorsque vous l'envoyez à quelqu'un d'autre. Cela signifie probablement que vous savez ce qui est partagé et que l'autre personne recevra un aperçu généré par vous.

Reddit et d'autres applications, par contre, génèrent l'aperçu sur l'appareil du récepteur. Une fois que vous recevez un lien dans ces applications, elles ouvrent l'URL en arrière-plan, puis génèrent un lien d'aperçu. Dans cette méthode, une personne inconnue peut vous envoyer un lien malveillant qui recueille des données de votre appareil telles que l'adresse IP de votre téléphone – et par conséquent son emplacement approximatif.

Cependant, il existe une troisième approche qui peut en fait mettre vos données personnelles en danger. Comme les chercheurs l'ont souligné, des applications telles que Discord, Messenger, Instagram et Twitter génèrent ces aperçus de liens sur un serveur distant au lieu des appareils émetteur et récepteur. Pour les utilisateurs, cela signifie que ces messages URL ne sont pas chiffrés de bout en bout, de sorte que toute personne ayant accès à ces serveurs peut afficher le contenu du chat.

Ils ont également découvert que certaines de ces applications génèrent et téléchargent automatiquement des aperçus, même s'il s'agit d'un fichier volumineux. Facebook Messenger, par exemple, peut télécharger un fichier jusqu'à 20 Mo sans aucune interaction de l'utilisateur – ce qui semble inutile pour afficher des images et du texte. Et, bien sûr, cela signifie également que vos fichiers personnels sont stockés sur les serveurs de ces sociétés sans cryptage puisque les aperçus sont générés en ligne.

Donc, ce document de conception secret vers lequel vous avez partagé un lien à partir de votre OneDrive et que vous pensiez avoir supprimé parce que vous ne vouliez plus le partager? Il peut y en avoir une copie sur l'un de ces serveurs de prévisualisation de liens.

Dans l'un de leurs tests, les chercheurs ont pu obtenir les adresses IP des récepteurs en envoyant simplement des liens via ces applications qui téléchargent automatiquement les liens de prévisualisation. Ils avertissent également que dans certains cas, les pages Web peuvent même exécuter du code Javascript malveillant via ces aperçus.

L'équipe a contacté les développeurs des applications mentionnées dans l'article pour vérifier comment ils prévoient de rendre les aperçus de lien plus sécurisés. Jusque-là, vous pouvez consulter la recherche complète en détail sur le blog de Mysk.

FTC: Nous utilisons des liens d'affiliation automatique générant des revenus. Plus.


Consultez 9to5Mac sur YouTube pour plus d'informations sur Apple:

Articles récents