Meta stopper ikke med at sætte fingeren på mig og fortsætter med sporing af brugere 

Mål, moderselskabet for Facebook og Instagram, stopper ikke med at bruge alle våben som de anser for effektive for at nå dine "privatlivs"-mål og nu er det netop blevet udpeget igen for praksis med at spore brugere på nettet ved at indsprøjte kode i browseren, der er indlejret i deres applikationer.

Denne sag blev bragt til offentlighedens opmærksomhed af Felix Kraus, en privatlivsefterforsker. Ved at nå denne konklusion, Felix Krause designet et værktøj, der er i stand til at registrere, om JavaScript-kode er injiceret på siden, der åbnes i den indbyggede browser i Instagram-, Facebook- og Messenger-apps, når en bruger klikker på et link, der fører vedkommende til en side uden for appen.

Efter at have åbnet Telegram-appen og klikket på et link, der åbner en tredjepartsside, blev der ikke registreret nogen kodeindsprøjtning. Men når man gentog den samme oplevelse med Instagram, Messenger, Facebook på iOS og Android, tillod værktøjet at indsætte flere linjer med indsprøjtet JavaScript-kode efter at have åbnet siden i browseren, der er indbygget i disse apps.

Ifølge forskeren, den eksterne JavaScript-fil, som Instagram-appen injicerer, er (connect.facebook.net/en_US/pcm.js), som er kode til at skabe en bro til at kommunikere med værtsapplikationen.

Flere detaljer, Efterforskeren opdagede følgende:

Instagram tilføjer en ny begivenhedslytter for at få detaljer, hver gang brugeren vælger tekst på hjemmesiden. Dette, kombineret med at lytte til screenshots, giver Instagram et komplet overblik over den specifikke information, der blev udvalgt og delt. Instagram-appen søger efter et element med id'et iab-pcm-sdk, som sandsynligvis refererer til "In App Browser".
Hvis der ikke findes et element med id iab-pcm-sdk, opretter Instagram et nyt script-element og indstiller dets kilde til https://connect.facebook.net/en_US/pcm.js
Den finder derefter det første script-element på din hjemmeside, der skal indsætte JavaScript pcm-filen lige før
Instagram leder også efter iframes på hjemmesiden, men der blev ikke fundet information om, hvad det gør.

Derfra Krause forklarer, at indsprøjtning af brugerdefinerede scripts på tredjepartswebsteder kunne, selvom der ikke er bevis for, at virksomheden gør det, tillade Meta at overvåge alle brugerinteraktioner, såsom interaktioner med hver knap og link, tekstvalg, skærmbilleder og alle formularinput såsom adgangskoder, adresser og kreditkortnumre. Der er heller ingen måde at deaktivere den tilpassede browser, der er indbygget i de pågældende apps.

Efter offentliggørelsen af ​​denne opdagelse, Meta ville have reageret og anført, at indsprøjtningen af ​​denne kode ville hjælpe med at tilføje begivenheder, såsom onlinekøb, før de bruges til målrettet annoncering og tiltag til Facebook-platformen. Virksomheden tilføjede angiveligt, at "for køb foretaget gennem appens browser, beder vi om brugerens samtykke til at gemme betalingsoplysninger til autofyldformål."

Men for forskeren, der er ingen legitim grund til at integrere en browser i Meta-applikationer og tvinge brugere til at blive i den browser, når de vil gennemse andre websteder, der ikke har noget at gøre med firmaets aktiviteter.

Derudover ville denne praksis med at indsprøjte kode på sider på andre websteder generere risici på flere niveauer:

  • Privatliv og analyser: Værtsappen kan spore bogstaveligt talt alt, hvad der sker på webstedet, såsom hvert tryk, tastetryk, rulleadfærd, hvilket indhold der kopieres og indsættes, og data, der ses som onlinekøb.
  • Tyveri af brugeroplysninger, fysiske adresser, API-nøgler osv.
  • Annoncer og henvisninger: Værtsappen kan injicere annoncer på webstedet eller tilsidesætte annoncers API-nøglen for at stjæle indtægter fra værtsappen eller tilsidesætte alle webadresser for at inkludere en henvisningskode.
  • Sikkerhed: Browsere har brugt årevis på at optimere sikkerheden for brugerens weboplevelse, såsom at vise HTTPS-krypteringsstatus, advare brugeren om ukrypterede hjemmesider osv.
  • Indsprøjtning af yderligere JavaScript-kode på et tredjepartswebsted kan forårsage problemer, der kan ødelægge webstedet
  • Browserudvidelser og blokering af brugerindhold er ikke tilgængelige.
  • Deep links fungerer ikke godt i de fleste tilfælde.
  • Det er ofte ikke nemt at dele et link via andre platforme (f.eks. e-mail, AirDrop osv.)

Endelig Hvis du er interesseret i at vide mere om det, du kan konsultere detaljerne i følgende link.


Vær den første til at kommentere

Efterlad din kommentar

Din e-mailadresse vil ikke blive offentliggjort. Obligatoriske felter er markeret med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Control SPAM, management af kommentarer.
  3. Legitimering: Dit samtykke
  4. Kommunikation af dataene: Dataene vil ikke blive kommunikeret til tredjemand, undtagen ved juridisk forpligtelse.
  5. Datalagring: Database hostet af Occentus Networks (EU)
  6. Rettigheder: Du kan til enhver tid begrænse, gendanne og slette dine oplysninger.