Fotbalová branka, mateřská společnost Facebooku a Instagramu, nepřestává používat všechny zbraně které považují za účinné k dosažení vašich cílů v oblasti „soukromí“. a nyní byl právě znovu vybrán pro praktiky sledování uživatelů na webu vkládáním kódu do prohlížeče zabudovaného v jejich aplikacích.
Na tuto záležitost upozornil širokou veřejnost Felix Kraus, vyšetřovatel ochrany osobních údajů. Při dospívání k tomuto závěru Felix Krause navrhl nástroj schopný detekovat, zda je vložen kód JavaScript na stránce, která se otevře ve vestavěném prohlížeči v aplikacích Instagram, Facebook a Messenger, když uživatel klikne na odkaz, který ho přesměruje na stránku mimo aplikaci.
Po otevření aplikace Telegram a kliknutí na odkaz, který otevře stránku třetí strany, nebylo zjištěno vložení kódu. Při opakování stejné zkušenosti s Instagramem, Messengerem, Facebookem na iOS a Android však nástroj umožnil vložit několik řádků vloženého kódu JavaScript po otevření stránky v prohlížeči zabudovaném do těchto aplikací.
Podle výzkumníka je externí soubor JavaScript, který aplikace Instagram vkládá (connect.facebook.net/en_US/pcm.js), což je kód pro vytvoření mostu pro komunikaci s hostitelskou aplikací.
Více informací, Vyšetřovatel zjistil následující:
Instagram přidává nový posluchač událostí, aby získal podrobnosti, kdykoli uživatel vybere text na webu. To v kombinaci s poslechem snímků obrazovky dává Instagramu úplný přehled o konkrétních informacích, které byly vybrány a sdíleny. aplikace Instagram hledá položku s id iab-pcm-sdk, které pravděpodobně odkazuje na „V prohlížeči aplikací“.
Pokud není nalezen žádný prvek s id iab-pcm-sdk, Instagram vytvoří nový prvek skriptu a nastaví jeho zdroj na https://connect.facebook.net/en_US/pcm.js
Poté najde první prvek skriptu na vašem webu, do kterého vloží soubor JavaScript pcm těsně předtím
Instagram na webu také hledá iframe, ale nebyly nalezeny žádné informace o tom, co dělá.
Odtud, Krause vysvětluje, že vkládání vlastních skriptů na webové stránky třetích stran by mohloi když neexistuje žádný důkaz, který by potvrzoval, že tak společnost činí, umožnit Meta sledovat všechny interakce uživatelů, jako jsou interakce s každým tlačítkem a odkazem, výběr textu, snímky obrazovky a všechny vstupy do formulářů, jako jsou hesla, adresy a čísla kreditních karet. Také neexistuje způsob, jak zakázat vlastní prohlížeč zabudovaný do příslušných aplikací.
Po zveřejnění tohoto objevu Meta by reagovala prohlášením, že vložení tohoto kódu by pomohlo přidat události, jako jsou online nákupy, než se použijí pro cílenou reklamu a opatření pro platformu Facebook. Společnost údajně dodala, že „u nákupů uskutečněných prostřednictvím prohlížeče aplikace žádáme uživatele o souhlas s uložením platebních údajů pro účely automatického vyplňování“.
Ale pro výzkumníka, neexistuje žádný legitimní důvod pro integraci prohlížeče do aplikací Meta a nutit uživatele, aby zůstali v tomto prohlížeči, když chtějí procházet jiné stránky, které nemají nic společného s aktivitami firmy.
Kromě toho by tato praxe vkládání kódu na stránky jiných webových stránek generovala rizika na několika úrovních:
- Soukromí a analýzy: Hostitelská aplikace může sledovat doslova vše, co se děje na webu, jako je každý dotyk, stisk klávesy, chování při posouvání, jaký obsah je kopírován a vkládán a data prohlížená jako online nákupy.
- Krádež uživatelských přihlašovacích údajů, fyzických adres, klíčů API atd.
- Reklamy a doporučení: Hostitelská aplikace může vkládat reklamy na web nebo přepsat klíč rozhraní API pro reklamy, aby ukradla příjmy z hostitelské aplikace, nebo přepsat všechny adresy URL tak, aby obsahovaly kód doporučení.
- Zabezpečení: Prohlížeče strávily roky optimalizací zabezpečení uživatelského webu, jako je zobrazování stavu šifrování HTTPS, varování uživatele před nezašifrovanými weby atd.
- Vložení dodatečného kódu JavaScript na web třetí strany může způsobit problémy, které mohou web narušit
- Rozšíření prohlížeče a blokování uživatelského obsahu nejsou k dispozici.
- Přímé odkazy ve většině případů nefungují dobře.
- Často není snadné sdílet odkaz prostřednictvím jiných platforem (např. e-mail, AirDrop atd.)
Konečně Máte-li zájem o tom vědět více, můžete se poradit podrobnosti v následujícím odkazu.