新たな研究でリンクプレビューの隠れた欠点が明らかに

Powity ookd Apps 0 comments
新たな研究でリンクプレビューの隠れた欠点が明らかに

リンクプレビューは、ほぼすべてのチャットアプリやメッセージアプリに搭載されている、ありふれた機能です。それには理由があります。リンク先のファイルに関連する画像やテキストが表示されるため、オンラインでの会話がスムーズになります。

残念ながら、これらのアプリは機密データの漏洩、限られた帯域幅の消費、バッテリーの消耗、そしてあるケースではエンドツーエンドで暗号化されているはずのチャット内のリンクの漏洩を引き起こすこともあります。月曜日に発表された調査によると、最も深刻な被害をもたらすのはFacebook、Instagram、LinkedIn、Lineのメッセンジャーアプリです。これについては後ほど詳しく説明します。まずはプレビューについて簡単に説明します。

送信者がメッセージにリンクを含めると、アプリは会話とともに、リンクに付随するテキスト(通常は見出し)と画像を表示します。

これを実現するには、アプリ自体、またはアプリが指定したプロキシがリンクにアクセスし、ファイルを開いて内容を確認する必要があります。これにより、ユーザーは攻撃を受ける可能性があります。最も深刻なのは、マルウェアをダウンロードさせるものです。その他の悪意のある行為としては、アプリがクラッシュしたり、バッテリーを消耗したり、限られた帯域幅しか消費しないような大きなファイルをダウンロードさせるといったことが挙げられます。また、リンクがプライベートな資料(例えば、OneDriveやDropboxのプライベートアカウントに投稿された確定申告書など)にリンクしている場合、アプリサーバーはそれを閲覧し、無期限に保存する可能性があります。

月曜日の報告書を執筆した研究者、タラル・ハジ・バクリー氏とトミー・ミスク氏は、Facebook MessengerとInstagramが最も悪質なダウンロード・コピー行為を行っていることを明らかにしました。下のグラフが示すように、どちらのアプリもリンクされたファイルをダウンロードし、たとえギガバイト単位であっても、そのままコピーします。繰り返しになりますが、ユーザーがファイルを非公開にしておきたい場合は、この点が懸念材料となる可能性があります。

また、これらのアプリは膨大な帯域幅とバッテリーを消費する可能性があるため、問題となっています。どちらのアプリもリンクに含まれるJavaScriptを実行します。これは、ユーザーがJavaScriptのセキュリティを検証する方法がなく、メッセンジャーに最新のブラウザと同等の脆弱性対策を期待できないため、問題となります。

ハジ・バクリ氏とミスク氏は調査結果をFacebookに報告し、Facebookは両アプリが意図したとおりに動作すると発表しました。LinkedInのパフォーマンスはわずかに優れていました。唯一の違いは、あらゆるサイズのファイルをコピーするのではなく、最初の50MBだけをコピーするという点でした。

一方、LINEアプリは暗号化されたメッセージを開いてリンクを見つけると、プレビューを生成するためにそのリンクをLINEサーバーに送信するようです。「LINEサーバーはアプリを通じて送信されるリンクと、誰がどのリンクを誰に共有しているかをすべて把握しているため、これはエンドツーエンド暗号化の目的に反すると考えています」と、ハジ・バクリ氏とミスク氏は記しています。

Discord、Google Hangouts、Slack、Twitter、Zoomもファイルをコピーしますが、データ量は15MBから50MBに制限されています。以下の表は、調査対象となった各アプリの比較を示しています。

チャート

Talal Haj Bakry 氏と Tommy Mysk 氏の厚意により提供

全体として、この調査は良いニュースです。ほとんどのメッセージングアプリが適切な対応をしていることを示しているからです。例えば、Signal、Threema、TikTok、WeChatはいずれも、リンクのプレビューを表示しないオプションを提供しています。本当に機密性の高いメッセージや、可能な限りプライバシーを重視したいユーザーにとって、これは最適な設定です。プレビューが提供される場合でも、これらのアプリは比較的安全な方法で表示しています。

それでも、月曜日の投稿は、プライベートメッセージが必ずしもプライベートであるとは限らないということを思い出させてくれる。

「新しい機能を開発する際は、常にプライバシーとセキュリティにどのような影響が及ぶ可能性があるかを念頭に置いてください。特に、その機能が世界中で数千人、あるいは数百万人もの人々に利用される場合はなおさらです」と研究者らは記している。「リンクプレビューはユーザーにとって一般的にメリットのある便利な機能ですが、今回のケースでは、プライバシーとセキュリティに関する懸念が十分に考慮されていない場合、この機能が様々な問題を引き起こす可能性があることを示しました。」

このストーリーはもともと Ars Technica に掲載されました。

WIREDのその他の素晴らしい記事

  • 📩 テクノロジー、科学、その他の最新情報を知りたいですか?ニュースレターにご登録ください!
  • ミニディスクのおかげで、遠く離れた兄弟とつながることができました
  • 彼の著作はハッカーたちを過激化させた。今、彼は彼らを救済できるのだろうか?
  • 西部の地獄は、火の仕組みに関する私たちの感覚を溶かしている
  • コインベースにおける「ブラック・ライブズ・マター」をめぐる騒動
  • アドテクノロジーは次なるインターネットバブルとなるかもしれない
  • 🎮 WIRED Games: 最新のヒントやレビューなどを入手
  • 💻 Gearチームのお気に入りのノートパソコン、キーボード、タイピングの代替品、ノイズキャンセリングヘッドホンで仕事の効率をアップさせましょう

Related Posts

マイクロソフト50周年:AIの巨人。より優しい文化。そして、依然として支配への執念

マイクロソフト50周年:AIの巨人。より優しい文化。そして、依然として支配への執念

ookd • 0 comments
改良されたWandrd Prvkeは完璧なカメラバッグです

改良されたWandrd Prvkeは完璧なカメラバッグです

ookd • 0 comments
発射物の運動とその特徴に関するベストデモ5選

発射物の運動とその特徴に関するベストデモ5選

ookd • 0 comments
アーティストたちがテクノロジー業界の不気味の谷を探る

アーティストたちがテクノロジー業界の不気味の谷を探る

ookd • 0 comments
イランの日常生活のポートレート

イランの日常生活のポートレート

ookd • 0 comments
スター・ウォーズ・デー 2018: フォースの覚醒

スター・ウォーズ・デー 2018: フォースの覚醒

ookd • 0 comments
レッドブル400ヒルランを完走するにはどれくらいのパワーが必要でしょうか?

レッドブル400ヒルランを完走するにはどれくらいのパワーが必要でしょうか?

ookd • 0 comments
超スローピッチングでメジャーリーグの選手を三振にできるか?

超スローピッチングでメジャーリーグの選手を三振にできるか?

ookd • 0 comments

You Might Have Missed

スター・ウォーズ・デー 2018: フォースの覚醒

スター・ウォーズ・デー 2018: フォースの覚醒

Apps
改良されたWandrd Prvkeは完璧なカメラバッグです

改良されたWandrd Prvkeは完璧なカメラバッグです

Apple
イランの日常生活のポートレート

イランの日常生活のポートレート

Apps
マイクロソフト50周年:AIの巨人。より優しい文化。そして、依然として支配への執念

マイクロソフト50周年:AIの巨人。より優しい文化。そして、依然として支配への執念

Apple
アーティストたちがテクノロジー業界の不気味の谷を探る

アーティストたちがテクノロジー業界の不気味の谷を探る

Apps
超スローピッチングでメジャーリーグの選手を三振にできるか?

超スローピッチングでメジャーリーグの選手を三振にできるか?

Apple
発射物の運動とその特徴に関するベストデモ5選

発射物の運動とその特徴に関するベストデモ5選

Apps
レッドブル400ヒルランを完走するにはどれくらいのパワーが必要でしょうか?

レッドブル400ヒルランを完走するにはどれくらいのパワーが必要でしょうか?

Apps