連結預覽功能存在隱私洩漏風險.png

當社群軟體用戶接收到URL連結時,社群軟體會預先抓取連結的內容,例如圖片或是標題。無論內容為何,只要是URL就會在使用者非自主的情況下觸發,某方面來說也許方便,但卻隱藏著資安的疑慮。以LINE為例,如果有心人士發送惡意連結,此情況之下惡意連結是很容易被觸發的,甚至能透過建立惡意中繼站竊取並回傳LINE使用者的IP與地理位置。

LINE的加密方式是屬於End-to-end encryption(E2EE),是一種只有參與通訊的用戶可以讀取資訊的方式,即使是LINE的伺服器也無法讀取原始資訊,因此也無法透過其伺服器來檢查是否為惡意連結進而提醒使用者。在眾多的社群軟體中,若有預覽連結的功能其實都有共同的風險,例如Instagram也能透過預覽連結來執行惡意的JavaScript。

建議社群軟體相關用戶,關閉預覽網址功能,例如LINE可至「設定」→「聊天」→取消勾選「預覽網址」(如下圖),以避免遭受資安攻擊而造成損失。

設定 聊天 取消勾選預覽網址.png


  • 參考資料:

Link Previews: How a Simple Feature Can Have Privacy and Security Risks

https://www.mysk.blog/2020/10/25/link-previews/

Link Previews: How LINE leaks IP addresses of users and bypasses end-to-end encryption

https://www.youtube.com/watch?v=2qY8zT_xjvY

Link Previews: How hackers can run any JavaScript code on Instagram servers

https://www.youtube.com/watch?v=IyTxNHy1Wd0

    twcert 發表在 痞客邦 留言(0) 人氣()