¿Cuáles son los riesgos de enviar un link por Facebook Messenger o Instagram?

En una investigación realizada recientemente por los especialistas en sistemas Talal Haj Bakry y Tommy Mysk, se advirtió sobre los riesgos que implican el envío de enlaces con imágenes previas en materia de vulnerabilidad en la privacidad de los usuarios. Tanto Facebook Messenger como Instagram se destacaron porque para mostrar la vista previa de los links, las apps descargan en sus servidores el contenido, con lo cual terminan teniendo un potencial acceso a ese contenido.

“Repasaremos algunos de los errores que encontramos al investigar cómo se implementa esta función en las aplicaciones de chat más populares en iOS y Android”, se lee al comienzo del informe.

A diferencia de otras aplicaciones, tanto Instagram como Facebook Messenger, servidores de la compañía propiedad de Mark Zuckerberg, descargan allí mismo el contenido completo, en el caso de que se trate de fotos o videos, e incluso archivos de varios gigabytes de peso.

“Todavía no nos queda claro por qué los servidores de Facebook harían esto cuando todas las demás aplicaciones ponen un límite a la cantidad de datos que se descargan”, se menciona en la investigación.

Cuándo se puede filtrar la dirección IP

Hay un enfoque que los investigadores catalogan como especialmente peligroso y es que cuando el destinatario recibe un link, la app abre ese enlace automáticamente (incluso antes de que se toque el link) para crear una vista previa. Para hacer esto, la app debe conectarse al servidor que lleva al link y preguntar qué hay en ese enlace.

Cuando eso ocurre, el servidor accede a la dirección IP del teléfono del usuario, un dato que podría caer en manos de un atacante para saber la ubicación precisa de esa persona. En el informe se detalla que se encontró esta vulnerabilidad en dos apps, cuyos nombres no se mencionan,

El riesgo de que los datos queden almacenados en servidores

“Supongamos que está enviando un enlace privado de Dropbox a alguien y no quiere que nadie más vea su contenido. Con este enfoque, el servidor deberá hacer una copia (o al menos una copia parcial) de lo que está en el enlace para generar la vista previa. Ahora la pregunta es: ¿el servidor conserva esa copia? Si es así, ¿cuánto tiempo se conserva? ¿Qué más hacen estos servidores con estos datos? Este enfoque no debería funcionar para aplicaciones que usan cifrado de extremo a extremo, donde ningún servidor entre el remitente y el receptor debería poder ver lo que hay en el chat (al menos en teoría, de todos modos)”, se menciona en el texto.

Las aplicaciones que emplean este tipo de enfoque son Discord, Hangouts, Line, LinkedIn, Slack, Twitter, Zoom, Facebook e Instagram. Exceptuando las últimas dos, el resto de las apps descargan entre 15 MB y 50 MB de datos de los archivos para generar una vista previa. Sin embargo, Instagram y Facebook Messenger no cuentan con ese límite, por lo que resulta extraño la necesidad descargar volúmenes mayores para realizar la tarea de mostrar la vista previa de un enlace.

“Aunque la aplicación confía en estos servidores, los usuarios no tienen ninguna indicación de que los servidores estén descargando lo que encuentren en un enlace. ¿Los servidores están descargando archivos completos o solo una pequeña cantidad para mostrar la vista previa? Si están descargando archivos completos, ¿guardan los servidores una copia y, de ser así, por cuánto tiempo? ¿Se almacenan estas copias de forma segura o las personas que administran los servidores pueden acceder a las copias? Además, algunos países tienen restricciones sobre dónde se pueden recopilar y almacenar los datos del usuario, sobre todo en la Unión Europea, según lo exige el GDPR”, analizan los investigadores.