安全研究人員稱Facebook和Instagram鏈接預覽功能違反歐盟隱私法

安全研究人員Talal Haj Bakry和Tommy Mysk的后續(xù)報告稱，F(xiàn)acebook Messenger和Instagram正在收集和使用鏈接預覽的數據，這種方式將違反歐洲隱私法。去年10月，Bakry和Mysk透露，流行的消息應用中的鏈接預覽會導致iOS和Android上的安全和隱私問題。

研究發(fā)現(xiàn)，應用程序可能會泄露IP地址，暴露端到端加密聊天中發(fā)送的鏈接，未經用戶同意下載大文件，并通過鏈接預覽復制私人數據。在該報告中，Bakry和Mysk發(fā)現(xiàn)，F(xiàn)acebook Messenger和Instagram的行為與其他消息應用不同，它們會將任何鏈接的全部內容下載到其服務器上，無論大小。據報道，當被問及這種不尋常的行為時，F(xiàn)acebook表示，它認為這是"按計劃工作"。

保存在外部服務器上的鏈接預覽數據的副本可能會受到破壞或濫用，這對于發(fā)送敏感或機密私人數據（如商業(yè)文件、賬單、合同或醫(yī)療記錄）鏈接的用戶來說可能尤為重要?，F(xiàn)在，Bakry和Mysk發(fā)現(xiàn)，F(xiàn)acebook最近已經停止在Messenger和Instagram中為歐洲用戶生成鏈接預覽，以符合歐盟的電子隱私指令。如果歐洲以外的用戶與該地區(qū)的人溝通，這一變化也適用于該地區(qū)。

研究人員認為，由于歐洲擁有"一些最健全的隱私法"，而Facebook現(xiàn)在刪除鏈接預覽似乎是為了遵守法規(guī)，因此該公司使用鏈接預覽數據的方式肯定會違反電子隱私指令。這就暗中證實了Facebook在Messenger和Instagram中對鏈接預覽的處理方式不符合歐洲的隱私法規(guī)，否則他們不會禁用該功能。在歐洲停止這項服務，強烈暗示Facebook可能將這些內容用于生成預覽以外的其他目的。

Bakry和Mysk認為，F(xiàn)acebook的鏈接預覽可能已經侵犯了電子隱私指令的第4:1a、4:2和5:3條。這些條款包括要求個人數據只能由授權人員出于合法目的進行訪問，需要向用戶告知數據泄露的風險，以及在向用戶提供關于如何收集數據的明確而全面的信息后，需要獲得用戶同意。由于鏈接可能涉及個人數據，電子隱私指令阻止Facebook在沒有得到歐盟用戶明確同意的情況下存儲、處理或使用這些信息。Facebook在請求同意之前，還必須向用戶說明為什么要下載鏈接預覽的內容。

Bakry和Mysk已經證明，F(xiàn)acebook服務器會下載并存儲通過其應用發(fā)送的鏈接內容，如果第二次發(fā)送相同的鏈接，F(xiàn)acebook會生成一個鏈接預覽，而不會下載鏈接的內容。據稱，這表明內容被Facebook存儲或緩存，并通過用戶設備上傳的數據量來證明。

歐洲以外的用戶在Messenger和Instagram中繼續(xù)可以進行鏈接預覽。Facebook目前的服務條款規(guī)定，用戶通過Facebook任何服務分享的任何內容都將被用于各種目的，如個性化內容、廣告、提出建議以及了解用戶的情況，無論是在Facebook產品上還是在Facebook產品下。在歐洲，這種對個人數據的使用現(xiàn)在需要得到用戶的明確同意，即使是得到Facebook服務條款的認可。

Facebook在歐洲禁用了用戶的鏈接預覽功能，以符合新的隱私法規(guī)。這證實了我們對隱私的擔憂，即在Messenger和Instagram中發(fā)送私人文件的鏈接是不安全的。雖然Facebook確實在歐洲禁用了鏈接預覽，但其他地區(qū)的用戶應該避免通過這些應用發(fā)送鏈接。更好的選擇是改用其他消息應用，因為這些應用在世界各地都一樣尊重用戶的隱私。