Se você enviou ou recebeu links por meio do iMessage recentemente, provavelmente notou que eles são apresentados de maneira mais atraente do que antes, fornecendo um link clicável, uma imagem e um texto extraídos do URL.

Isso é algo que outros serviços como o Facebook e o Slack também fazem, mas de acordo com Ross McKillop (um desenvolvedor), o iMessage lida com isso de uma maneira bem diferente e muito menos segura..

Ao usar o Facebook, por exemplo, o site ao qual você está vinculando verá uma solicitação do Facebook, mas ao usar o iMessage, o site receberá a solicitação diretamente do seu dispositivo, revelando seu endereço IP, tipo de dispositivo e sistema operacional.

Segurança frouxa

Isso pode não parecer tão ruim, mas, como McKillop ressalta, a solicitação será enviada de todos os dispositivos que você está executando o iMessage, permitindo que o site tenha uma idéia da sua localização. Por exemplo, se o seu iPhone e Mac responderem a partir de endereços IP diferentes, provavelmente você está fora.

Ainda mais preocupante é que McKillop acredita que com as URLs sendo enviadas dessa maneira, as explorações encontradas no Safari poderiam ser acionadas simplesmente enviando a alguém um iMessage com o URL afetado, sem a necessidade de o destinatário clicar no link..

Também não há como desabilitar isso, então se McKillop está certo, cabe à Apple consertá-lo, antes que alguém encontre uma maneira de explorar completamente o problema..

Entramos em contato com a Apple para perguntar se está ciente dessa vulnerabilidade em potencial e se uma correção está em andamento. Atualizaremos este artigo assim que recebermos uma resposta.

  • O Google tem uma resposta para o iMessage

Através do registro