Mysk: les aperçus de lien dans les applications de messagerie peuvent partager votre position, exposer des données à des tiers


Héros des messages WhatsappSource: Luke Filipowicz / iMore

Une nouvelle étude de sécurité menée par Talal Haj Bakry et Tommy Mysk a révélé que certaines applications de messagerie gèrent mal les données, partageant potentiellement des détails tels que votre adresse IP et votre emplacement avec des tiers. Les fichiers que vous envoyez peuvent également se retrouver sur le serveur d’un tiers.

En plus de tout cela, le lien précédent peut également télécharger plusieurs gigaoctets de données si le lien amène une application de messagerie vers un fichier volumineux.

Les aperçus de lien donnent à la personne qui reçoit une URL un aperçu de ce qu’elle verra si elle appuie dessus. Mais cet aperçu doit être généré et si c’est le récepteur qui le fait, cela peut se produire sur un serveur quelque part. Et c’est là que la fuite de données peut se produire.

Les aperçus de lien dans les applications de chat peuvent causer de graves problèmes de confidentialité s’ils ne sont pas effectués correctement. Nous avons trouvé plusieurs cas d’applications avec des vulnérabilités telles que: fuite d’adresses IP, exposition de liens envoyés dans des discussions cryptées de bout en bout et téléchargement inutilement de gigaoctets de données en arrière-plan.

Les chercheurs ont testé un certain nombre d’applications et de services de messagerie populaires et de haut niveau, notamment Discord, Google Hangouts, Instagram, Slack, Zoom et iMessage. Certains s’en sont mieux tirés que d’autres avec un en particulier, LINE, qui se comporte particulièrement mal. Bien qu’il offre un cryptage de bout en bout sur ses messages, il encore envoie des liens vers un serveur pour que l’aperçu soit généré. Annulation effective du cryptage.

Eh bien, il semble que lorsque l’application LINE ouvre un message crypté et trouve un lien, elle envoie ce lien à un serveur LINE pour générer l’aperçu. Nous pensons que cela va à l’encontre de l’objectif du cryptage de bout en bout, car les serveurs LINE savent tout sur les liens envoyés via l’application et qui partage quels liens avec qui.

Pire encore, certaines applications permettent à des acteurs malveillants d’exécuter du code JavaScript arbitraire sur des serveurs distants via un lien bien placé.

Économisez gros sur ces services VPN avant le Black Friday

Nous avons cependant trouvé au moins deux applications majeures qui ont fait cela: Instagram et LinkedIn. Nous avons testé cela en envoyant un lien vers un site Web sur notre serveur qui contenait du code JavaScript qui faisait simplement un rappel à notre serveur. Nous avons pu confirmer que nous avions au moins 20 secondes de temps d’exécution sur ces serveurs. Cela peut ne pas sembler grand-chose, et notre code n’a vraiment rien fait de mal, mais les pirates peuvent être créatifs.

Le rapport complet est une bonne lecture si vous êtes intéressé par ce qui peut arriver lorsque les développeurs et les architectes de serveurs principaux ne réfléchissent pas correctement. Heureusement, certaines entreprises ont déjà réagi aux conclusions de ce rapport. Maintenant, nous avons besoin du reste pour faire de même.

Nous pouvons gagner une commission pour les achats en utilisant nos liens. Apprendre encore plus.



Soyez le premier à commenter

Poster un Commentaire

Votre adresse de messagerie ne sera pas publiée.


*