La vista previa del enlace es probablemente la característica más común en la mayoría de las aplicaciones que usamos a diario. Ya sea que se trate de un enlace a un archivo PDF, artículo de noticias, publicación de blog o video de YouTube, obtenemos una vista previa del enlace cada vez que pasamos el cursor sobre un enlace en particular. Desde la vista previa, podemos saber de qué se trata el enlace ya que podemos leer su título. Por lo general, viene con una imagen de vista previa. Podemos ver todo eso incluso sin presionar el enlace.
Todo eso es muy conveniente y todo el mundo lo da por sentado.
Sin embargo, la mayoría de las personas no se dan cuenta de que las vistas previas de enlaces presentan riesgos potenciales de privacidad y seguridad. Una vista previa de un solo enlace puede exponer datos confidenciales, agotar la batería o incluso revelar datos personales en chats que se supone que están cubiertos por cifrado de extremo a extremo.
Tommy Mysk y Talal Haj Bakry realizaron la investigación. En la investigación, revelaron que los mensajeros de Instagram y Facebook estaban entre los peores infractores, seguidos por los mensajeros de Line y LinkedIn.
Para comprender mejor el tema, debemos comprender las vistas previas de enlaces y los mecanismos detrás de ellas.
La aplicación o un proxy asignado por la aplicación debe ir al enlace, abrir ese archivo y ver qué contiene para ver la vista previa del enlace. Son muchos los pasos que hacen que el usuario sea vulnerable a posibles ataques.
Como resultado, el usuario corre el riesgo de descargar malware, agotar la batería, fallar la aplicación, etc. En algunos casos, incluso el software malintencionado consume el ancho de banda del usuario. En un escenario, el software malintencionado podría encontrar su camino hacia datos personales, como un número de cuenta bancaria publicado en una cuenta privada de Dropbox o OneDrive.
La investigación se centró más en un conjunto de pruebas que revelaron cómo las aplicaciones de mensajería se ocupaban de las vistas previas. Como se mencionó anteriormente, los mensajeros de Instagram y Facebook demostraron ser bastante vulnerables, ya que ejecutan libremente JavaScript dentro del enlace de vista previa. Instagram incluso descargó 2 GB de contenido oculto en el enlace de la imagen de vista previa.
Los equipos de soporte de Instagram y Facebook negaron las afirmaciones, pero Mysk y Bakry lo demostraron claramente en sus presentaciones de video.
Las aplicaciones con funciones de mensajería como LinkedIn, Zoom, Slack, Google Hangout y Discord también copiaron archivos, pero limitan el tamaño de la cantidad de datos que descargan en sus servidores de vista previa. En la mayoría de los casos, el tamaño de los datos tiene un límite de 15 a 50 MB por descarga. Eso sigue siendo algo de lo que preocuparse, pero no es una intrusión tan masiva como las aplicaciones de Instagram y Facebook Messenger.
También es digno de mención que ciertas aplicaciones de mensajería son conscientes de esto. También dan a sus usuarios la opción de recibir enlaces sin una vista previa. Por ejemplo, los usuarios de WeChat, TikTok, Threema y Signal pueden optar por recibir enlaces sin una vista previa.
¿Qué piensas? ¿Le sorprende que las vistas previas de enlaces puedan presentar este tipo de riesgos? Háganos saber más abajo en los comentarios o lleve la discusión a nuestro Twitter o Facebook.
Recomendaciones de los editores:
