В последующем отчете исследователей безопасности Талала Хадж Бакри и Томми Миска утверждается, что Facebook Messenger и Instagram собирают и используют данные из предварительных просмотров ссылок способом, который нарушает европейское законодательство о конфиденциальности.

В октябре прошлого года Бакри и Миск раскрыли, что предварительные просмотры ссылок в популярных приложениях для обмена сообщениями могут приводить к проблемам безопасности и конфиденциальности на iOS и Android. Было обнаружено, что приложения могут раскрывать IP-адреса, отображать ссылки, отправленные в зашифрованных end-to-end чатах, загружать большие файлы без согласия пользователей и копировать частные данные через предварительные просмотры ссылок.

В том отчете Бакри и Миск обнаружили, что Facebook Messenger и Instagram отличались от других приложений для обмена сообщениями тем, что загружали все содержимое любой ссылки на свои серверы, независимо от размера. Когда их спросили об этом необычном поведении, Facebook, как сообщается, заявил, что считает это «работой в соответствии с замыслом».

Копии данных предварительного просмотра ссылок, хранящиеся на внешних серверах, могут быть подвержены утечкам или злоупотреблениям, что может вызывать особую обеспокоенность у пользователей, которые отправляют ссылки на конфиденциальные или секретные частные данные, такие как деловые документы, счета, контракты или медицинские записи.

Теперь Бакри и Миск обнаружили, что Facebook недавно прекратил генерацию предварительных просмотров ссылок в Messenger и Instagram для пользователей в Европе, чтобы соответствовать Директиве ЕС по электронной конфиденциальности. Изменение также применяется к пользователям за пределами Европы, если они общаются с кем-то в этом регионе.

Ссылки, отправленные в Facebook Messenger, как видно в Европе и других регионах

Исследователи предполагают, что поскольку Европа имеет «одни из самых строгих законов о конфиденциальности», а Facebook теперь отключил предварительный просмотр ссылок, чтобы соответствовать законодательству, компания, должно быть, использовала данные из предварительных просмотров ссылок способом, который нарушал Директиву по электронной конфиденциальности.

Это косвенное подтверждение того, что обработка предварительных просмотров ссылок в Messenger и Instagram со стороны Facebook не соответствовала нормам конфиденциальности в Европе, иначе они бы не отключили эту функцию… Прекращение предоставления этой услуги в Европе убедительно свидетельствует о том, что Facebook может использовать этот контент для целей, отличных от генерации предварительных просмотров.

Бакри и Миск полагают, что предварительные просмотры ссылок Facebook могли нарушать статьи 4:1a, 4:2 и 5:3 Директивы по электронной конфиденциальности. Эти статьи включают требование о том, что персональные данные могут быть доступны только уполномоченному персоналу для законных целей, необходимость информирования пользователей о рисках утечки данных и необходимость получения согласия пользователя после предоставления «четкой и всеобъемлющей информации» о том, как собираются данные.

Поскольку ссылки могут быть связаны с персональными данными, Директива по электронной конфиденциальности запрещает Facebook хранить, обрабатывать или использовать эту информацию без явного согласия пользователей в ЕС. Facebook также должен будет четко сообщить пользователям, почему он загружает содержимое предварительных просмотров ссылок перед запросом согласия.

Бакри и Миск продемонстрировали, что серверы Facebook загружают и хранят содержимое ссылок, отправленных через его приложения, и если одна и та же ссылка отправляется во второй раз, Facebook генерирует предварительный просмотр ссылки, не загружая ее содержимое. Это, предположительно, указывает на то, что содержимое хранится или кэшируется Facebook, и подтверждается объемом данных, загружаемых с устройства пользователя.

Предварительный просмотр ссылок по-прежнему доступен в Messenger и Instagram для пользователей за пределами Европы. Текущие Условия обслуживания Facebook гласят, что любой контент, которым пользователи делятся через любые сервисы Facebook, будет использоваться для различных целей, таких как персонализация контента, реклама, предоставление предложений и изучение пользователей как в продуктах Facebook, так и за их пределами. В Европе такое использование персональных данных теперь требует явного согласия пользователей, даже если оно одобрено Условиями обслуживания Facebook.

Facebook отключил предварительный просмотр ссылок для пользователей в Европе в соответствии с новыми правилами конфиденциальности. Это подтверждает наши опасения по поводу конфиденциальности: отправка ссылок на частные файлы в Messenger и Instagram небезопасна. Хотя Facebook действительно отключил предварительный просмотр ссылок в Европе, пользователи в других регионах должны воздерживаться от отправки ссылок через любое из этих приложений. Лучшим вариантом было бы перейти на другие приложения для обмена сообщениями, которые одинаково уважают конфиденциальность пользователей во всем мире.

Бакри и Миск теперь активно рекомендуют пользователям за пределами Европы не отправлять ссылки в Messenger или Instagram из-за проблем с конфиденциальностью и даже предлагают пользователям полностью перейти на другие приложения для обмена сообщениями.

Помимо предварительного просмотра ссылок, исследователи ранее изучали популярные iPhone и iPad приложения, которые «подсматривают» данные из буфера обмена iOS, и уязвимости безопасности HTTP в TikTok.