連結預覽功能存在隱私洩漏風險

• 發布日期：109-11-27
• 發布單位：刑事警察大隊

參考網站：
TWCERT/CC連結預覽功能存在隱私洩漏風險
https://www.twcert.org.tw/tw/cp-104-4115-b42b7-1.html

當社群軟體用戶接收到URL連結時，社群軟體會預先抓取連結的內容，例如圖片或是標題。無論內容為何，只要是URL就會在使用者非自主的情況下觸發，某方面來說也許方便，但卻隱藏著資安的疑慮。以LINE為例，如果有心人士發送惡意連結，此情況之下惡意連結是很容易被觸發的，甚至能透過建立惡意中繼站竊取並回傳LINE使用者的IP與地理位置。
LINE的加密方式是屬於End-to-end encryption(E2EE)，是一種只有參與通訊的用戶可以讀取資訊的方式，即使是LINE的伺服器也無法讀取原始資訊，因此也無法透過其伺服器來檢查是否為惡意連結進而提醒使用者。在眾多的社群軟體中，若有預覽連結的功能其實都有共同的風險，例如Instagram也能透過預覽連結來執行惡意的JavaScript。
建議社群軟體相關用戶，關閉預覽網址功能，例如LINE可至「設定」→「聊天」→取消勾選「預覽網址」，以避免遭受資安攻擊而造成損失。