Une analyse de la manière dont les applications de chat populaires gèrent les aperçus de liens a révélé plusieurs problèmes de confidentialité et de sécurité, dont certains doivent encore être résolus, avertissent les chercheurs en sécurité.

Les aperçus de lien fournissent aux utilisateurs des informations sur ce à quoi un lien reçu dans le chat les mènerait, qu’il s’agisse d’un fichier ou d’une page Web.

Cependant, les aperçus de liens peuvent être abusés à des fins néfastes, et les chercheurs en sécurité Talal Haj Bakry et Tommy Mysk affirment avoir identifié plusieurs cas dans lesquels les applications de chat populaires pour iOS et Android ne parviennent pas à fournir à leurs utilisateurs les protections nécessaires contre de tels abus.

En raison de la manière dont les aperçus de lien sont mis en œuvre, certaines applications ont révélé une fuite des adresses IP des utilisateurs, d’autres une fuite de liens qui ont été envoyés dans des conversations cryptées de bout en bout, tandis que certaines téléchargeraient inutilement de grandes quantités de données, même gigaoctets, en arrière-plan.

Les applications analysées incluent Discord, Facebook Messenger, Google Hangouts, iMessage, Instagram, LINE, LinkedIn, Reddit, Signal, Slack, Threema, TikTok, Twitter, Viber, WeChat, WhatsApp et Zoom.

Quatre des applications, à savoir Signal (si l’option d’aperçu du lien est désactivée dans les paramètres), Threema, TikTok et WeChat, ne génèrent pas d’aperçu. Dans iMessage, Signal (si l’option d’aperçu du lien est activée), Viber et WhatsApp, les aperçus sont générés du côté de l’expéditeur.

Dans Reddit (uniquement dans le chat, pas lors de la visualisation des publications et des commentaires), les aperçus sont générés par le récepteur, avant que l’utilisateur n’appuie sur le lien, ce que les chercheurs ont trouvé être un problème majeur de confidentialité, car cela peut entraîner l’adresse IP du destinataire. l’adresse a été divulguée à l’expéditeur.

Un attaquant peut obtenir l’adresse IP d’un utilisateur, qui peut également lui permettre d’obtenir une localisation géographique approximative, en lui envoyant un lien pointant vers un serveur qu’il contrôle. Lorsque l’application génère le …

Voir la source de cette publication