Nel fine settimana gli esperti in sicurezza informatica hanno messo in guardia gli utenti dai rischi associati alle applicazioni di messaggistica istantanea che mostrano le anteprime dei link inviati o ricevuti nelle chat, che a quanto pare potrebbero mettere a rischio i propri dati personali.

Lo studio, firmato dai ricercatori Tanai Hai Bakry e Tommy Musk, sostengono che le anteprime degli URL sarebbero in grado di esporre ad utenti malintenzionati informazioni come l’indirizzo IP.

Ovviamente la falla non è presente su tutti i sistemi, in quanto ogni applicazione di messaggistica utilizza un approccio diverso per generare gli snippet. Nel caso di iMessage di Apple e Whatsapp, ad esempio, quando si incolla un link non fanno altro che recuperare il contenuto per mostrare solo le prime righe. Questo processo avviene da remoto, a differenza di Reddit che ad esempio genera l’anteprima direttamente sul dispositivo: in questo caso l’applicazione apre la pagina in background per generare l’anteprima.

E’ proprio quest’ultimo approccio che preoccupa i due ricercatori, in quanto un utente malintenzionato potrebbe inviare una pagina contenente codice malevolo in grado di ottenere informazioni personali e del dispositivo. Se le app le aprono in background, quindi, tale codice potrebbe avviarsi ed iniziare la raccolta dati, all’insaputa degli utenti.

A preoccupare è anche un terzo sistema, usato da app come Twitter, Instagram, Discord e Facebook Messenger che generano le anteprime su un server remoto. Ciò comporta una mancata crittografia dell’URL che, conseguentemente, potrebbe consentire a coloro che hanno accesso ai server di leggere le conversazioni.

Come si può vedere nella tabella in calce, però, alcune applicazioni sono anche in grado di scaricare in background ed all’insaputa degli utenti file di grandi dimensioni. Nel rapporto ad esempio si fa riferimento a Facebook Messenger che può effettuare il download di 20 megabyte senza alcuna interazione, per generare le anteprime.

I due ricercatori, nella ricerca pubblicata da The Hacker News sostengono di essere riusciti ad ottenere gli indirizzi IP dei destinatari inviando dei link.

Da parte degli sviluppatori, però, non sono arrivati ancora commenti.