Les aperçus de liens dévoilent des données utilisateurs dans certaines apps
- 👨 Corentin Ruffin
- Il y a 4 ans (Màj il y a 4 ans)
- 💬 6 coms
Seulement, il semble difficile de tout contrôler, et des failles existent encore, permettant de dévoiler des données que l'on n’aimerait pas savoir publiques.
Si presque toutes les applications de messagerie populaires offrent des aperçus de liens, il semblerait que ces derniers posent problème.
Les aperçus de liens offrent des données
Les aperçus de liens sont monnaie courante dans les applications de messageries telles que iMessage, Messenger ou encore WhatsApp : lorsqu'on envoie un lien, on peut y voir un court texte ou une image apparaitre, pour donner un avant-goût de la destination de la page web?
Deux chercheurs en sécurité, Talal Haj Bakry et Tommy Mysk, ont voulu enquêter sur ces fameux aperçus de liens et sur les données exposées par ces derniers. Résultat ? Ce n'est pas jo-jo...
Certaines méthodes permettant de générer l'aperçu des liens sont plus sûres que d'autres : si iMessage et WhatsApp récupèrent le contenu d'une URL directement depuis l'envoi, d'autres applications comme Reddit ouvrent l'URL en arrière-plan, puis génèrent un lien d'aperçu.
Seulement, avec cette méthode, un lien malveillant peut recueillir des données de votre appareil telles que l'adresse IP et donc l'emplacement approximatif.
Pire encore, une troisième méthode utilisée par Discord, Messenger, Instagram ou Twitter génère ces aperçus de liens sur un serveur distant, sans chiffrer de bout en bout les URL. Ainsi, toute personne ayant accès à ces serveurs peut afficher le contenu du chat.
Inquiétant...
Source