FacebookとInstagramのリンクプレビューはEUプライバシー法に違反する可能性があるとセキュリティ研究者が指摘
セキュリティ研究者のTalal Haj Bakry氏とTommy Mysk氏による 続報で は、Facebook MessengerとInstagramが欧州プライバシー法に違反する方法でリンクプレビューからデータを収集し、使用していると主張した。
昨年 10 月、 Bakry 氏と Mysk 氏は、人気のあるメッセージング アプリのリンク プレビューが iOS と Android でセキュリティとプライバシーの問題を引き起こす可能性があることを明らかにしました 。アプリが IP アドレスを漏洩し、エンドツーエンドの暗号化チャットで送信されたリンクを公開し、ユーザーの同意なしに大きなファイルをダウンロードし、リンク プレビューを通じて個人データをコピーする可能性があることが判明しました。
そのレポートの中で、Bakry氏とMysk氏は、Facebook MessengerとInstagramが、サイズに関係なく、リンクのコンテンツ全体をサーバーにダウンロードするという点で、他のメッセージングアプリとは異なる動作をしていることを発見した。この異常な動作について質問されたとき、Facebook はこれが「意図したとおりに機能している」と考えていると述べたと伝えられています。
外部サーバーに保存されているリンク プレビュー データのコピーは、侵害や悪用の対象となる可能性があります。これは、ビジネス文書、請求書、契約書、医療記録などの機密または機密の個人データへのリンクを送信するユーザーにとっては特に懸念される可能性があります。
さて、BakryとMyskは、Facebookが 欧州連合のeプライバシー指令に準拠するために、 ヨーロッパのユーザー向けにメッセンジャーとインスタグラムでのリンクプレビューの生成を最近停止したことを発見した。この変更は、ヨーロッパ以外の地域のユーザーと通信する場合にも適用されます。
研究者らは、ヨーロッパには「最も強力なプライバシー法」があり、Facebookはその法律に準拠しているように見えるリンクプレビューを削除したため、同社はリンクプレビューのデータをeプライバシー指令に違反する方法で使用していたに違いないと示唆している。 。
これは、Facebook による Messenger と Instagram でのリンク プレビューの処理がヨーロッパのプライバシー規制に準拠していなかったという暗黙の確認であり、そうでなければこの機能を無効にすることはなかったはずです…ヨーロッパでのこのサービスの停止は、Facebook がこのコンテンツを使用している可能性を強く示唆していますプレビューの生成以外の目的。
Bakry氏とMysk氏は、Facebookのリンクプレビューがeプライバシー指令の条項4:1a、4:2、および5:3を侵害している可能性があると考えている。これらの条項には、個人データには法的目的で権限を与えられた担当者のみがアクセスできるという要件、データ侵害のリスクをユーザーに通知する必要性、および個人データに関する「明確で包括的な情報」を提供してユーザーの同意を得る必要性が含まれています。データがどのように収集されるか。
リンクは個人データに関連する可能性があるため、eプライバシー指令により、Facebook が EU 内のユーザーからの明示的な同意なしにこの情報を保存、処理、または使用することが禁止されています。 Facebookはまた、同意を求める前に、リンクプレビューのコンテンツをダウンロードする理由をユーザーに明確にする必要があるだろう。
Bakry氏とMysk氏は、Facebookサーバーがアプリを通じて送信されたリンクのコンテンツをダウンロードして保存し、同じリンクが2回目に送信されると、Facebookはリンクのコンテンツをダウンロードせずにリンクのプレビューを生成することを実証した。これは、コンテンツが Facebook によって保存またはキャッシュされていることを示しているとされており、ユーザーのデバイスからアップロードされたデータの量によって証明されています。
リンク プレビューは、ヨーロッパ以外のユーザー向けに、メッセンジャーと Instagram で引き続き利用できます。 Facebookの現在の利用規約では、Facebookのサービスを通じてユーザーが共有するコンテンツは、Facebook製品の内外を問わず、コンテンツ、広告のパーソナライズ、提案、ユーザーについての学習などのさまざまな目的に使用されると規定されている。ヨーロッパでは現在、この個人データの使用には、Facebook の利用規約で承認されている場合でも、ユーザーからの明示的な同意が必要です。
Facebookは、新しいプライバシー規制に準拠するために、ヨーロッパのユーザーに対してリンクのプレビューを無効にしました。これは、メッセンジャーやインスタグラムでプライベートファイルへのリンクを送信するのは安全ではないというプライバシー上の懸念を裏付けています。 Facebook はヨーロッパではリンク プレビューを無効にしましたが、他の地域のユーザーはこれらのアプリを通じてリンクを送信することを控えるべきです。より良い選択肢は、世界のどの地域でも同様にユーザーのプライバシーを尊重する他のメッセージング アプリに切り替えることです。
Bakry氏とMysk氏は現在、プライバシー上の懸念から、ヨーロッパ以外のユーザーに対してメッセンジャーやインスタグラムでリンクを送信しないよう積極的に推奨しており、ユーザーが他のメッセージングアプリに完全に移行することさえ提案している。
リンクのプレビュー 以外にも、研究者らは以前、 iOS ペーストボードのデータを「スヌーピング」する 人気の iPhone および iPad アプリと TikTok の HTTP セキュリティ脆弱性を 調査しました。
