Search
Close this search box.

【小心預覽連結!】台灣人最愛用的 Messenger、LINE、IG 都有資料外洩風險

【我們為什麼編譯這篇文章】社群媒體、通訊軟體已成為現代人生活中常用且不可或缺的一部份,甚至在工作上也常常會用這些工具傳送檔案的連結,但其實這些工具常常在你不知情的情況下,洩漏你的資料、消耗大量電力,同時也有可能讓你陷入惡意軟體的威脅中。(責任編輯:賴佩萱)

使用社群軟體聊天時,找好餐廳食記想要傳送連結給朋友、或是想要傳送雲端連結檔案給工作夥伴時,軟體會自動預覽連結網頁的圖片與標題。

你或許會覺得還沒開啟就能先知道是什麼內容,既方便又能防止釣魚訊息發生,但其實在不知不覺中,在你傳送連結的當下,很有可能早已經將敏感數據傳送給這些通訊 App 的伺服器,甚至可能因為這些 App 的預設預覽功能會佔用網路頻寬、以及消耗設備電力。

根據一項研究調查顯示,隱私資料外洩情形最嚴重的社群軟體包含 Facebook Messenger、Instagram、LinkedIn 跟 LINE。

預覽連結風險大!伺服器恐怕已經為你開啟惡意軟體

當我們在使用社群軟體,透過訊息傳送連結給他人時,對話框會自動預覽該連結頁面的內容,讓用戶可以方便預知連結內容,如下圖所示:

(圖片來源:Mysk:Blog

這樣的預覽功能固然方便,但社群軟體為了能提供預覽,它的程式本身第一步就必須自己先瀏覽過網頁、打開資料夾,才會知道連結內有什麼,接著才會顯示給用戶,但這個舉動很有可能就在無形中,讓你下載到惡意軟體。

有些惡意的攻擊甚至會誘導軟體下載異常大的文件,導致軟體出現閃退、無法運作的情形,並會佔用到網路的頻寬、消耗設備的電量。

更嚴重的是,有時候你認為傳送文件時,用雲端連結傳送可以確保只有雙方可以存取文件,但其實在你用這些 App 送連結給對方時,App 就擁有存取與查看雲端檔案的權限。

App 伺服器其實在背地裡偷偷做了很多事

如下面影片顯示,如果透過 Facebook Messenger 傳送雲端圖檔給對方,它的伺服器會預先下載連結的任何內容(即便檔案有數 GB 這麼大),而與 Facebook Messenger 伺服器架構相同的 IG 私訊,也有這樣的狀況發生。

又如這支影片顯示,當傳送連結給對方,伺服器甚至可以運行這些網頁連結的JavaScript Code,也可能讓駭客利用伺服器來運行加密貨幣的隱私存取。

https://www.youtube.com/watch?v=IyTxNHy1Wd0

而在 LINE 上也有相同的情況發生,研究發現如果用 LINE 打開加密訊息的連結,LINE 也會將連結回傳到伺服器來產生預覽,導致端到端的加密訊息的用意喪失(因為 LINE 完全知道加密訊息是從哪端傳到哪端);而在 LinkedIn 則是好一些,它不會下載連結預覽的全部訊息,只會下載了頭 50 MB 的量。

12/16 編按:據 LINE 9/14 公布加密技術報告,LINE 的加密技術目前涵蓋三種:(1)訊息傳輸(2)免費通話(3)點對點加密,詳情可參考加密白皮書

研究的作者 Talal Haj Bakry 及 Tommy Mysk,將這次研究的發現回報給管理Facebook Messenger 與 IG 的 Facebook。關於預先下載預覽圖片,Facebook 則回應,伺服器僅下載了壓縮版本的圖片,也不會儲存這些數據(真的嗎 XDD)。

防止隱私外洩的最佳方法:關閉預覽連結

不過好消息是,也有許多 App 並不會強制下載訊息的分享連結內容,如 Signal、WeChat、TikTok,這些 App 都有提供關閉預覽連結的選項。

雖然預覽連結讓我們在談話、甚至是工作方面更加便利,但如果想要確保連結隱私不外洩,建議還是關閉預覽連結的功能,必經這些私人訊息經過了 App 的伺服器,可能就變得不那麼私人了。

參考資料

Ars Technica》、Mysk: Blog

(本文提供合作夥伴轉載。)

你可能會有興趣