ปัจจุบันน่าจะแทบทุกแอปแชทที่มีฟีเจอร์แสดงพรีวิวของลิงก์ที่สูงส่งผ่านแชท เช่นรูป, พาดหัว, ข้อมูลเบื้องต้น ในแง่นึงก็ถือว่าค่อนข้างสะดวก แต่นักวิจัย 2 คนที่ชื่อ Talal Haj Bakry และ Tommy Mysk ออกรายงานการค้นพบที่ชี้ว่า ฟีเจอร์พรีวิวลิงก์ของหลายแอปแชท ส่งผลลบมากกว่าผลบวก การพรีวิวลิงก์หลัก ๆ มีอยู่ 3 วิธีที่แต่ละแอปจะเลือกใช้คือ ผู้ส่งเป็นคนสร้างพรีวิว แอปฝั่งผู้ส่งจะเป็นคนเข้าไปดึงรูปและรายละเอียดของลิงก์มาแสดงเป็น attachment และส่งไปยังผู้รับ ผู้รับเป็นคนสร้างพรีวิว ปัญหาของวิธีนี้จะเกิดเมื่อได้รับลิงก์จากคนแปลกหน้า เพราะตัวแอปจะเข้าไปดึงข้อมูลด้วยรีเควสท์ GET (โดยที่ผู้อ่านไม่ทันได้ทำอะไร ไม่มีสิทธิปฏิเสธ) ซึ่งจะส่งหมายเลขไอพีของผู้รับไปยังเซิร์ฟเวอร์ของลิงก์ รวมถึงหากลิงก์นั้นเป็นไฟล์ขนาดใหญ่ บางแอปจะโหลดไฟล์ทั้งหมดมาเพื่อพรีวิว ผู้รับจะต้องเสียดาต้าอินเทอร์เน็ตและแบตเตอรี่ ส่งไปให้เซิร์ฟเวอร์กลางสร้างพรีวิว กรณีนี้อาจปลอดภัยกับผู้รับมากกว่าข้อ 2 แต่ก็ต้องแลกมาด้วยความเป็นส่วนตัวหากลิงก์นั้นเป็นลิงก์จาก Dropbox หรือ Google Drive ที่มีไฟล์ส่วนตัวอยู่ เนื่องจากเซิร์ฟเวอร์จะต้องเก็บแคชไฟล์ (หรือไฟล์ทั้งหมด) เอาไว้ และกรณีที่หากแชทนั้นเป็นแชทแบบ end-to-end การพรีวิวลิงก์วิธีนี้ก็เท่ากับทำลายความเป็น end-to-end นั้นทันที ไม่รวมกรณีที่ฝั่งผู้รับ Talal Haj Bakry และ Tommy Mysk พบว่าแอปส่วนใหญ่ในเลือกใช้วิธีที่ 3 โดยที่หนักที่สุดคือ Facebook Messenger และ Instagram ที่ดาวน์โหลดไฟล์ทั้งหมดมาเพื่อพรีวิว (ทั้งสองคนทดสอบส่งไฟล์ขนาด 2.6GB) ขณะที่ LINE แม้จะมีการเข้ารหัส end-to-end (เข้าใจว่าหมายถึงโหมด Letter Sealing) แต่ตัวแอปก็จะส่งลิงก์และ IP ไปยังเซิร์ฟเวอร์ของ LINE เองเพื่อดึงข้อมูลมาสร้างพรีวิวอยู่ดี นอกจากนี้ในการพรีวิวแบบที่ 3 นักวิจัยทั้ง 2 คนยังเจอกรณีที่ Instagram และ LinkedIn รัน Javascript ที่ฝังอยู่ในเซิร์ฟเวอร์ของลิงก์ที่ส่งไปในกระบวนการดึงข้อมูลเพื่อพรีวิว นักวิจัยทั้ง 2 คนแจ้งเรื่องนี้ไปยังผู้ให้บริการแอปแชทเจ้าใหญ่ ๆ เกือบทั้งหมด ส่วนใหญ่ก็ตอบกลับว่าจะพยายามแก้ไขปัญหาเรื่องความเป็นส่วนตัว โดยเฉพาะ LINE ที่แก้ไขเรื่องการเก็บหมายเลข IP แล้ว ขณะที่ Facebook และ Instagram ระบุว่าตั้งใจให้เป็นแบบนี้แต่แรกอยู่แล้ว อ่านรายงานฉบับเต็มได้จากที่มา ที่มา - mysk.blog Topics: SecurityPrivacy