Nas típicas aplicações de troca de mensagens, quando o utilizador escreve ou cola um link para enviar para outra pessoa, a app mostra uma pré-visualização da página para a qual essa ligação conduz. Este comportamento típico pode levar ao consumo de largura de banda, exposição de dados sensíveis ou ao esgotamento de baterias, revela um novo estudo. Estes riscos colocam-se porque a app, ou uma proxy escolhida pela app, tem de visitar o link, abrir o ficheiro e ‘descobrir’ o que lá está para o poder demonstrar numa pré-visualização. Isto permite que piratas informáticos possam encetar ataques aos utilizadores, com os mais perigosos a poderem conduzir mesmo ao download de software malicioso.
Um estudo assinado pelos investigadores Talal Haj Bakry e Tommy Misk conclui que as ferramentas Messenger do Facebook e do Instagram são as que ‘pior’ se portam neste capítulo, avançando com o download completo do ficheiro, mesmo que tenha alguns gigabytes de tamanho. Outro comportamento de risco acontece com a app do Instagram a correr qualquer conteúdo JavaScript no servidor de pré-visualização.
Em baixo pode ver a tabela completa da análise feita pelos investigadores:
A Facebook, dona de ambas as plataformas, foi informada pelos investigadores das suas conclusões e explicou que ambas estão a agir exatamente como esperado, com o download de versões reduzidas da imagem e não do ficheiro completo e realçou que esses dados não são armazenados.
Mysk, no entanto, remete para o vídeo abaixo onde vemos o Instagram a descarregar um ficheiro de 2,6 GB completo e salienta que a maior parte das outras apps de mensagens separa o conteúdo JavaScript e não o descarrega e corre nos seus servidores, noticia a publicação Ars Technica.
Discord, LinkedIn, Google Hangouts, Slack, Zoom e Twitter também descarregam ficheiros nestas condições, mas limitam a transferência entre os 15 e os 50 MB por conteúdo. Por outro lado, pela positiva, as aplicações Signal, Threema, TikTok e WeChat dão a hipótese aos utilizadores para não receberem estas pré-visualizações.
