安全研究人员Talal Haj Bakry和Tommy Mysk的后续报告称,Facebook Messenger和Instagram正在收集和使用链接预览的数据,这种方式将违反欧洲隐私法。去年10月,Bakry和Mysk透露,流行的消息应用中的链接预览会导致iOS和Android上的安全和隐私问题。
研究发现,应用程序可能会泄露IP地址,暴露端到端加密聊天中发送的链接,未经用户同意下载大文件,并通过链接预览复制私人数据。在该报告中,Bakry和Mysk发现,Facebook Messenger和Instagram的行为与其他消息应用不同,它们会将任何链接的全部内容下载到其服务器上,无论大小。据报道,当被问及这种不寻常的行为时,Facebook表示,它认为这是 "按计划工作"。
保存在外部服务器上的链接预览数据的副本可能会受到破坏或滥用,这对于发送敏感或机密私人数据(如商业文件、账单、合同或医疗记录)链接的用户来说可能尤为重要。现在,Bakry和Mysk发现,Facebook最近已经停止在Messenger和Instagram中为欧洲用户生成链接预览,以符合欧盟的电子隐私指令。如果欧洲以外的用户与该地区的人沟通,这一变化也适用于该地区。
研究人员认为,由于欧洲拥有 "一些最健全的隐私法",而Facebook现在删除链接预览似乎是为了遵守法规,因此该公司使用链接预览数据的方式肯定会违反电子隐私指令。这就暗中证实了Facebook在Messenger和Instagram中对链接预览的处理方式不符合欧洲的隐私法规,否则他们不会禁用该功能。在欧洲停止这项服务,强烈暗示Facebook可能将这些内容用于生成预览以外的其他目的。
Bakry和Mysk认为,Facebook的链接预览可能已经侵犯了电子隐私指令的第4:1a、4:2和5:3条。这些条款包括要求个人数据只能由授权人员出于合法目的进行访问,需要向用户告知数据泄露的风险,以及在向用户提供关于如何收集数据的明确而全面的信息后,需要获得用户同意。由于链接可能涉及个人数据,电子隐私指令阻止Facebook在没有得到欧盟用户明确同意的情况下存储、处理或使用这些信息。Facebook在请求同意之前,还必须向用户说明为什么要下载链接预览的内容。
Bakry和Mysk已经证明,Facebook服务器会下载并存储通过其应用发送的链接内容,如果第二次发送相同的链接,Facebook会生成一个链接预览,而不会下载链接的内容。据称,这表明内容被Facebook存储或缓存,并通过用户设备上传的数据量来证明。
欧洲以外的用户在Messenger和Instagram中继续可以进行链接预览。Facebook目前的服务条款规定,用户通过Facebook任何服务分享的任何内容都将被用于各种目的,如个性化内容、广告、提出建议以及了解用户的情况,无论是在Facebook产品上还是在Facebook产品下。在欧洲,这种对个人数据的使用现在需要得到用户的明确同意,即使是得到Facebook服务条款的认可。
Facebook在欧洲禁用了用户的链接预览功能,以符合新的隐私法规。这证实了我们对隐私的担忧,即在Messenger和Instagram中发送私人文件的链接是不安全的。虽然Facebook确实在欧洲禁用了链接预览,但其他地区的用户应该避免通过这些应用发送链接。更好的选择是改用其他消息应用,因为这些应用在世界各地都一样尊重用户的隐私。