ميتا الشركة الأم لـ Facebook و Instagram ، لا تتوقف عن استخدام كل الاسلحة التي يعتبرونها فعالة لتحقيق أهداف "الخصوصية" الخاصة بك والآن تم تحديده مرة أخرى لممارسات تتبع المستخدمين على الويب عن طريق إدخال رمز في المتصفح المضمن في تطبيقاتهم.
تم لفت انتباه الجمهور إلى هذه المسألة فيليكس كراوس، محققًا في الخصوصية. في الوصول إلى هذا الاستنتاج ، فيليكس كراوس صمم أداة قادرة على اكتشاف ما إذا تم إدخال كود JavaScript على الصفحة التي تفتح في المتصفح المدمج في تطبيقات Instagram و Facebook و Messenger عندما ينقر المستخدم على رابط ينقله إلى صفحة خارج التطبيق.
بعد فتح تطبيق Telegram والنقر فوق ارتباط يفتح صفحة جهة خارجية ، لم يتم اكتشاف إدخال رمز. ومع ذلك ، عند تكرار نفس التجربة مع Instagram و Messenger و Facebook على iOS و Android ، سمحت الأداة بإدراج عدة أسطر من كود JavaScript المحقون بعد فتح الصفحة في المتصفح المدمج في هذه التطبيقات.
وبحسب الباحث: ملف JavaScript الخارجي الذي يدخله تطبيق Instagram هو (Connect.facebook.net/en_US/pcm.js) ، وهو رمز لإنشاء جسر للتواصل مع التطبيق المضيف.
المزيد من التفاصيل، اكتشف المحقق ما يلي:
يضيف Instagram مستمعًا جديدًا للأحداث للحصول على التفاصيل عندما يختار المستخدم نصًا على موقع الويب. هذا ، بالإضافة إلى الاستماع إلى لقطات الشاشة ، يمنح Instagram نظرة عامة كاملة عن المعلومات المحددة التي تم تحديدها ومشاركتها. يتحقق تطبيق Instagram من عنصر يحمل المعرف iab-pcm-sdk والذي يشير على الأرجح إلى "In App Browser".
إذا لم يتم العثور على عنصر بالمعرف iab-pcm-sdk ، يقوم Instagram بإنشاء عنصر برنامج نصي جديد ويعين مصدره على https://connect.facebook.net/en_US/pcm.js
ثم يعثر على أول عنصر نصي على موقع الويب الخاص بك لإدراج ملف JavaScript pcm قبل ذلك مباشرة
يبحث Instagram أيضًا عن إطارات iframes على موقع الويب ، ولكن لم يتم العثور على معلومات حول ما يفعله.
من هناك يوضح كراوس أن حقن البرامج النصية المخصصة في مواقع الطرف الثالث يمكن أن يحدث، حتى إذا لم يكن هناك دليل يؤكد قيام الشركة بذلك ، السماح للميتا بمراقبة جميع تفاعلات المستخدم ، مثل التفاعلات مع كل زر ورابط وتحديد النص ولقطات الشاشة وجميع مدخلات النموذج مثل كلمات المرور والعناوين وأرقام بطاقات الائتمان. أيضًا ، لا توجد طريقة لتعطيل المتصفح المخصص المدمج في التطبيقات المعنية.
بعد نشر هذا الاكتشاف ، كان من الممكن أن تتفاعل Meta قائلة إن حقن هذا الرمز سيساعد في إضافة أحداث ، مثل عمليات الشراء عبر الإنترنت ، قبل استخدامها للإعلان المستهدف والتدابير الخاصة بمنصة Facebook. وبحسب ما ورد أضافت الشركة أنه "بالنسبة لعمليات الشراء التي تتم من خلال متصفح التطبيق ، فإننا نطلب موافقة المستخدم لحفظ معلومات الدفع لأغراض الملء التلقائي".
لكن بالنسبة للباحث ، لا يوجد سبب شرعي لدمج المتصفح في تطبيقات Meta وإجبار المستخدمين على البقاء في هذا المتصفح عندما يريدون تصفح مواقع أخرى لا علاقة لها بأنشطة الشركة.
بالإضافة إلى ذلك ، فإن ممارسة حقن التعليمات البرمجية في صفحات مواقع الويب الأخرى قد تولد مخاطر على عدة مستويات:
- الخصوصية والتحليلات: يمكن للتطبيق المضيف تتبع كل ما يحدث على موقع الويب حرفيًا ، مثل كل لمسة ، والضغط على مفتاح ، وسلوك التمرير ، والمحتوى الذي يتم نسخه ولصقه ، والبيانات التي يتم عرضها على أنها مشتريات عبر الإنترنت.
- سرقة بيانات اعتماد المستخدم ، والعناوين المادية ، ومفاتيح واجهة برمجة التطبيقات ، وما إلى ذلك.
- الإعلانات والإحالات: يمكن للتطبيق المضيف إدخال الإعلانات في موقع الويب ، أو تجاوز مفتاح واجهة برمجة التطبيقات للإعلانات لسرقة الأرباح من التطبيق المضيف ، أو تجاوز جميع عناوين URL لتضمين رمز إحالة.
- الأمان: أمضت المتصفحات سنوات في تحسين أمان تجربة المستخدم على الويب ، مثل عرض حالة تشفير HTTPS ، وتحذير المستخدم من مواقع الويب غير المشفرة ، وما إلى ذلك.
- يمكن أن يتسبب إدخال كود JavaScript إضافي في موقع ويب تابع لجهة خارجية في حدوث مشكلات قد تؤدي إلى تعطيل موقع الويب
- ملحقات المستعرض وأدوات حظر محتوى المستخدم غير متوفرة.
- لا يعمل الارتباط العميق بشكل جيد في معظم الحالات.
- ليس من السهل غالبًا مشاركة رابط عبر منصات أخرى (مثل البريد الإلكتروني و AirDrop وما إلى ذلك).
أخيرا إذا كنت مهتمًا بمعرفة المزيد عنها ، يمكنك التشاور التفاصيل في الرابط التالي.