ほぼすべての人気メッセージングアプリは、URLの内容を事前に確認できるリンクプレビュー機能を提供しています。しかし、セキュリティ研究者のTalal Haj Bakry氏とTommy Mysk氏は、これらのリンクプレビューによってiOSアプリとAndroidアプリの両方でユーザーデータが漏洩する可能性があることを発見しました。

Messenger、WhatsApp、さらにはiMessageなどのメッセージアプリでリンクを送信すると、アプリはそのリンクのプレビューを生成します。プレビューには通常、画像、タイトル、そして場合によっては短いテキストが含まれます。これは非常に便利な機能ですが、Bakry氏とMysk氏はプライバシーに関する懸念を表明しています。

少し立ち止まって、プレビューがどのように生成されるか考えてみましょう。アプリはどのようにして概要に何を表示するかを判断するのでしょうか？リンクの内容を知るために、何らかの方法で自動的にリンクを開く必要があります。しかし、これは安全なのでしょうか？リンクにマルウェアが含まれていたらどうなるでしょうか？あるいは、リンク先のファイルが巨大で、アプリがダウンロードしてデータ通信量を消費してしまうような場合はどうでしょうか？

研究者によると、これらのプレビューを生成する方法は複数あり、それぞれに安全性の異なる方法があるようです。例えば、iMessageやWhatsAppは、URLを他の人に送信するとすぐにそのコンテンツを取得します。これは、共有されている内容を把握しているだけでなく、相手も自分が生成したプレビューを受け取ることを意味していると考えられます。

しかし、Redditなどのアプリは、受信者のデバイス上でプレビューを生成します。これらのアプリでリンクを受信すると、バックグラウンドでURLを開き、プレビューリンクを生成します。この方法では、身元不明の人物が悪意のあるリンクを送信し、スマートフォンのIPアドレスなどのデバイスデータを収集し、結果としておおよその位置情報を取得する可能性があります。

しかし、個人データを危険にさらす可能性のある3つ目の方法があります。研究者が指摘しているように、Discord、Messenger、Instagram、Twitterなどのアプリは、送信側と受信側のデバイスではなく、リモートサーバー上でリンクのプレビューを生成します。ユーザーにとって、これはURLメッセージがエンドツーエンドで暗号化されていないことを意味し、これらのサーバーにアクセスできる人なら誰でもチャットの内容を閲覧できることになります。

また、これらのアプリの中には、たとえファイルサイズが大きくても、プレビューを自動的に生成・ダウンロードするものがあることも判明しました。例えばFacebook Messengerは、最大20MBのファイルをユーザーの操作なしにダウンロードできます。これは、画像やテキストを表示するために不要な操作であるように思われます。そしてもちろん、プレビューはオンラインで生成されるため、ユーザーの個人ファイルは暗号化されずにこれらの企業のサーバーに保存されることになります。

OneDrive からリンクを共有した秘密の設計文書、もう共有したくないから削除したと思っていたのに、リンクプレビュー サーバーのいずれかにコピーが残っているかもしれません。

研究者たちは、あるテストで、プレビューリンクを自動的にダウンロードするアプリを通してリンクを送信するだけで、受信者のIPアドレスを取得することに成功しました。また、場合によっては、これらのプレビューを介してウェブページが悪意のあるJavaScriptコードを実行する可能性もあると警告しています。

チームは、記事で言及されているアプリの開発者に連絡を取り、リンクプレビューのセキュリティ強化に向けた計画について確認しました。調査の詳細については、Myskのブログをご覧ください。

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。