當社群軟體用戶接收到URL連結時,社群軟體會預先抓取連結的內容,例如圖片或是標題。無論內容為何,只要是URL就會在使用者非自主的情況下觸發,某方面來說也許方便,但卻隱藏著資安的疑慮。以LINE為例,如果有心人士發送惡意連結,此情況之下惡意連結是很容易被觸發的,甚至能透過建立惡意中繼站竊取並回傳LINE使用者的IP與地理位置。
LINE的加密方式是屬於End-to-end encryption(E2EE),是一種只有參與通訊的用戶可以讀取資訊的方式,即使是LINE的伺服器也無法讀取原始資訊,因此也無法透過其伺服器來檢查是否為惡意連結進而提醒使用者。在眾多的社群軟體中,若有預覽連結的功能其實都有共同的風險,例如Instagram也能透過預覽連結來執行惡意的JavaScript。
建議社群軟體相關用戶,關閉預覽網址功能,例如LINE可至「設定」→「聊天」→取消勾選「預覽網址」,以避免遭受資安攻擊而造成損失。
- TWCERT/CC 連結預覽功能存在隱私洩漏風險
