Le anteprime dei link sono una caratteristica ormai presente in quasi tutte le app di messaggistica. Questa utile funzione semplifica le conversazioni, associando immagini e testo al file inviato. Purtroppo, però, presenta uno svantaggio: è in grado di far trapelare i dati sensibili, consumare molta banda, scaricare la batteria del cellulare e, in certi casi, rendere vulnerabili chat che dovrebbero essere protette con sistemi di crittografia end-to-end. Occorre quindi fare attenzione, poiché le chat mettono a rischio i dati e la batteria.
In che modo le chat mettono a rischio i dati e la batteria
Tra i peggiori trasgressori, secondo una ricerca pubblicata lunedì scorso, vi sono i servizi di messaggistica di Facebook, Instagram, LinkedIn e Line. Quando il mittente include un link in un messaggio, l’app visualizza la conversazione insieme al testo (di solito un titolo) e alle immagini che accompagnano il link. Affinché ciò avvenga, l’app stessa deve visitare il link, aprire il file ed esaminarne il contenuto.
Questo processo può esporre i dispositivi ad attacchi da parte di malintenzionati, che possono consistere nel tentativo di installare del malware, nel download forzato di file talmente grandi da provocare il blocco dell’app, fino ad arrivare al consumo dell’intera carica della batteria o al prosciugamento della banda e del credito dati. Infine, qualora il link rimandi a materiale confidenziale e riservato, il server su cui opera l’app è in grado di scaricarlo e conservarlo a tempo indeterminato.
Instagram e Facebook Messenger sono i più malandrini
Talal Haj Bakry e Tommy Mysk, autori della ricerca, hanno scoperto che Instagram e Facebook Messenger sono i servizi di messaggistica che si comportano peggio degli altri da questo punto di vista. Entrambe le app scaricano e salvano interamente il file linkato, anche se molto grande. Anche in questo caso, inoltre, sussiste il problema della riservatezza dei dati. Per quanto riguarda Instagram, questa app consente l’esecuzione di qualsiasi applet JavaScript collegata al link, i che comporta un rischio per la sicurezza del dispositivo.
Haj Bakry e Mysk hanno comunicato a Facebook i risultati della ricerca e l’azienda ha dichiarato che entrambe le applicazioni funzionano come previsto. Facebook, che ha acquisito anche Instagram, ha difeso il proprio operato affermando che i suoi server scaricano solo una versione ridimensionata di un’immagine, non il file originale, e che l’azienda non memorizza questi dati; ha inoltre sostenuto che l’installazione di applet JavaScript avviene per motivi di sicurezza.
Ph. credits: Foto di Free-Photos da Pixabay
