Цел, компанията майка на Facebook и Instagram, не спира да използва всички оръжия които смятат за ефективни за да постигнете целите си за „поверителност“. и сега току-що беше избрано отново за практики за проследяване на потребители в мрежата чрез инжектиране на код в браузъра, вграден в техните приложения.
Този въпрос беше поставен на вниманието на широката общественост от Феликс Краус, изследовател на поверителността. Стигайки до това заключение, Феликс Краузе проектира инструмент, способен да открива дали JavaScript кодът е инжектиран на страницата, която се отваря във вградения браузър в приложенията Instagram, Facebook и Messenger, когато потребител кликне върху връзка, която го отвежда до страница извън приложението.
След като отворите приложението Telegram и щракнете върху връзка, която отваря страница на трета страна, не беше открито инжектиране на код. Въпреки това, при повторение на същото изживяване с Instagram, Messenger, Facebook на iOS и Android, инструментът позволи да бъдат вмъкнати няколко реда инжектиран JavaScript код след отваряне на страницата в браузъра, вграден в тези приложения.
Според изследователя, външният JavaScript файл, който приложението Instagram инжектира, е (connect.facebook.net/en_US/pcm.js), който е код за създаване на мост за комуникация с хост приложението.
Повече информация, Следователят установи следното:
Instagram добавя нов слушател на събития, за да получава подробности всеки път, когато потребителят избере текст на уебсайта. Това, съчетано с прослушване на екранни снимки, дава на Instagram пълен преглед на конкретната информация, която е избрана и споделена. приложението Instagram проверява за елемент с идентификатор iab-pcm-sdk, който вероятно се отнася до „В браузъра на приложения“.
Ако не бъде намерен елемент с id iab-pcm-sdk, Instagram създава нов скриптов елемент и задава неговия източник на https://connect.facebook.net/en_US/pcm.js
След това намира първия елемент на скрипта на вашия уебсайт, за да вмъкне pcm файла на JavaScript точно преди това
Instagram също търси iframes на уебсайта, но не беше намерена информация какво прави.
Оттам Краузе обяснява, че инжектирането на персонализирани скриптове в уебсайтове на трети страни може, дори ако няма доказателства, които да потвърдят, че компанията го прави, позволи на Meta да наблюдава всички потребителски взаимодействия, като взаимодействия с всеки бутон и връзка, избор на текст, екранни снимки и всички въведени форми като пароли, адреси и номера на кредитни карти. Освен това няма начин да деактивирате персонализирания браузър, вграден във въпросните приложения.
След публикуването на това откритие, Meta щеше да реагира, заявявайки, че инжектирането на този код ще помогне за добавяне на събития, като онлайн покупки, преди да бъдат използвани за целева реклама и мерки за платформата Facebook. Съобщава се, че компанията добави, че „за покупки, направени през браузъра на приложението, ние искаме съгласие на потребителя да запази информация за плащане за целите на автоматичното попълване“.
Но за изследователя, няма законна причина да интегрирате браузър в мета приложения и принуждават потребителите да останат в този браузър, когато искат да разглеждат други сайтове, които нямат нищо общо с дейностите на фирмата.
В допълнение, тази практика на инжектиране на код в страници на други уебсайтове би генерирала рискове на няколко нива:
- Поверителност и анализи: Хост приложението може да проследява буквално всичко, което се случва на уебсайта, като всяко докосване, натискане на клавиш, поведение при превъртане, какво съдържание е копирано и поставено и данни, разглеждани като онлайн покупки.
- Кражба на потребителски идентификационни данни, физически адреси, API ключове и др.
- Реклами и реферали: Хост приложението може да инжектира реклами в уебсайта или да замени ключа на API за реклами, за да открадне приходи от хост приложението, или да замени всички URL адреси, за да включи код за реферали.
- Сигурност: Браузърите са прекарали години в оптимизиране на сигурността на уеб изживяването на потребителя, като показване на статус на HTTPS криптиране, предупреждение на потребителя за некриптирани уебсайтове и т.н.
- Инжектирането на допълнителен JavaScript код в уебсайт на трета страна може да причини проблеми, които могат да повредят уебсайта
- Разширенията на браузъра и блокерите на потребителско съдържание не са налични.
- Дълбоките връзки не работят добре в повечето случаи.
- Често не е лесно да споделите връзка чрез други платформи (напр. имейл, AirDrop и др.)
Накрая Ако се интересувате да научите повече за това, можете да се консултирате подробностите в следната връзка.