安全研究人員稱Facebook和Instagram鏈接預(yù)覽功能違反歐盟隱私法

安全研究人員Talal Haj Bakry和Tommy Mysk的后續(xù)報(bào)告稱，F(xiàn)acebook Messenger和Instagram正在收集和使用鏈接預(yù)覽的數(shù)據(jù)，這種方式將違反歐洲隱私法。去年10月，Bakry和Mysk透露，流行的消息應(yīng)用中的鏈接預(yù)覽會導(dǎo)致iOS和Android上的安全和隱私問題。

研究發(fā)現(xiàn)，應(yīng)用程序可能會泄露IP地址，暴露端到端加密聊天中發(fā)送的鏈接，未經(jīng)用戶同意下載大文件，并通過鏈接預(yù)覽復(fù)制私人數(shù)據(jù)。在該報(bào)告中，Bakry和Mysk發(fā)現(xiàn)，F(xiàn)acebook Messenger和Instagram的行為與其他消息應(yīng)用不同，它們會將任何鏈接的全部內(nèi)容下載到其服務(wù)器上，無論大小。據(jù)報(bào)道，當(dāng)被問及這種不尋常的行為時(shí)，F(xiàn)acebook表示，它認(rèn)為這是"按計(jì)劃工作"。

保存在外部服務(wù)器上的鏈接預(yù)覽數(shù)據(jù)的副本可能會受到破壞或?yàn)E用，這對于發(fā)送敏感或機(jī)密私人數(shù)據(jù)（如商業(yè)文件、賬單、合同或醫(yī)療記錄）鏈接的用戶來說可能尤為重要。現(xiàn)在，Bakry和Mysk發(fā)現(xiàn)，F(xiàn)acebook最近已經(jīng)停止在Messenger和Instagram中為歐洲用戶生成鏈接預(yù)覽，以符合歐盟的電子隱私指令。如果歐洲以外的用戶與該地區(qū)的人溝通，這一變化也適用于該地區(qū)。

研究人員認(rèn)為，由于歐洲擁有"一些最健全的隱私法"，而Facebook現(xiàn)在刪除鏈接預(yù)覽似乎是為了遵守法規(guī)，因此該公司使用鏈接預(yù)覽數(shù)據(jù)的方式肯定會違反電子隱私指令。這就暗中證實(shí)了Facebook在Messenger和Instagram中對鏈接預(yù)覽的處理方式不符合歐洲的隱私法規(guī)，否則他們不會禁用該功能。在歐洲停止這項(xiàng)服務(wù)，強(qiáng)烈暗示Facebook可能將這些內(nèi)容用于生成預(yù)覽以外的其他目的。

Bakry和Mysk認(rèn)為，F(xiàn)acebook的鏈接預(yù)覽可能已經(jīng)侵犯了電子隱私指令的第4:1a、4:2和5:3條。這些條款包括要求個(gè)人數(shù)據(jù)只能由授權(quán)人員出于合法目的進(jìn)行訪問，需要向用戶告知數(shù)據(jù)泄露的風(fēng)險(xiǎn)，以及在向用戶提供關(guān)于如何收集數(shù)據(jù)的明確而全面的信息后，需要獲得用戶同意。由于鏈接可能涉及個(gè)人數(shù)據(jù)，電子隱私指令阻止Facebook在沒有得到歐盟用戶明確同意的情況下存儲、處理或使用這些信息。Facebook在請求同意之前，還必須向用戶說明為什么要下載鏈接預(yù)覽的內(nèi)容。

Bakry和Mysk已經(jīng)證明，F(xiàn)acebook服務(wù)器會下載并存儲通過其應(yīng)用發(fā)送的鏈接內(nèi)容，如果第二次發(fā)送相同的鏈接，F(xiàn)acebook會生成一個(gè)鏈接預(yù)覽，而不會下載鏈接的內(nèi)容。據(jù)稱，這表明內(nèi)容被Facebook存儲或緩存，并通過用戶設(shè)備上傳的數(shù)據(jù)量來證明。

歐洲以外的用戶在Messenger和Instagram中繼續(xù)可以進(jìn)行鏈接預(yù)覽。Facebook目前的服務(wù)條款規(guī)定，用戶通過Facebook任何服務(wù)分享的任何內(nèi)容都將被用于各種目的，如個(gè)性化內(nèi)容、廣告、提出建議以及了解用戶的情況，無論是在Facebook產(chǎn)品上還是在Facebook產(chǎn)品下。在歐洲，這種對個(gè)人數(shù)據(jù)的使用現(xiàn)在需要得到用戶的明確同意，即使是得到Facebook服務(wù)條款的認(rèn)可。

Facebook在歐洲禁用了用戶的鏈接預(yù)覽功能，以符合新的隱私法規(guī)。這證實(shí)了我們對隱私的擔(dān)憂，即在Messenger和Instagram中發(fā)送私人文件的鏈接是不安全的。雖然Facebook確實(shí)在歐洲禁用了鏈接預(yù)覽，但其他地區(qū)的用戶應(yīng)該避免通過這些應(yīng)用發(fā)送鏈接。更好的選擇是改用其他消息應(yīng)用，因?yàn)檫@些應(yīng)用在世界各地都一樣尊重用戶的隱私。