Meta hört nicht auf, den Finger auf mich zu legen und fährt mit dem Tracking der Benutzer fort 

Darkcrizt

4 Minuten

Tor, die Muttergesellschaft von Facebook und Instagram, hört nicht auf, alle Waffen einzusetzen die sie für wirksam halten um Ihre „Privatsphäre“-Ziele zu erreichen und jetzt wurde es gerade wieder für Praktiken zur Verfolgung von Benutzern im Web herausgegriffen, indem Code in den in ihre Anwendungen eingebetteten Browser eingefügt wird.

Diese Angelegenheit wurde der Öffentlichkeit zur Kenntnis gebracht durch Felix Krause, ein Datenschutzbeauftragter. Zu diesem Schluss kommt Felix Krause ein Tool entwickelt, das erkennen kann, ob JavaScript-Code eingeschleust wird auf der Seite, die im Browser geöffnet wird, der in die Instagram-, Facebook- und Messenger-Apps integriert ist, wenn ein Benutzer auf einen Link klickt, der ihn zu einer Seite außerhalb der App führt.

Nach dem Öffnen der Telegram-App und dem Klicken auf einen Link, der eine Seite eines Drittanbieters öffnet, wurde keine Code-Injektion erkannt. Bei der Wiederholung der gleichen Erfahrung mit Instagram, Messenger, Facebook auf iOS und Android erlaubte das Tool jedoch das Einfügen mehrerer Zeilen injizierten JavaScript-Codes nach dem Öffnen der Seite in dem in diese Anwendungen integrierten Browser.

Nach Angaben des Forschers die externe JavaScript-Datei, die die Instagram-App einfügt (connect.facebook.net/en_US/pcm.js), bei dem es sich um Code zum Erstellen einer Bridge für die Kommunikation mit der Hostanwendung handelt.

Mehr Details, Der Ermittler hat folgendes festgestellt:

Instagram fügt einen neuen Ereignis-Listener hinzu, um Details zu erhalten, wenn der Benutzer Text auf der Website auswählt. Dies, kombiniert mit dem Anhören von Screenshots, gibt Instagram einen vollständigen Überblick über die spezifischen Informationen, die ausgewählt und geteilt wurden. Die Instagram-App sucht nach einem Element mit der ID iab-pcm-sdk, das sich wahrscheinlich auf „In App Browser“ bezieht.
Wenn kein Element mit der ID iab-pcm-sdk gefunden wird, erstellt Instagram ein neues Skriptelement und setzt seine Quelle auf https://connect.facebook.net/en_US/pcm.js
Es findet dann das erste Skriptelement auf Ihrer Website, um die JavaScript-PCM-Datei direkt davor einzufügen
Instagram sucht auf der Website auch nach iFrames, es wurden jedoch keine Informationen darüber gefunden, was es tut.

Von dort Krause erklärt, dass das Einfügen benutzerdefinierter Skripte in Websites von Drittanbietern möglich wäre, auch wenn es keine Beweise dafür gibt, dass das Unternehmen dies tut, Erlauben Sie Meta, alle Benutzerinteraktionen zu überwachen, wie Interaktionen mit jeder Schaltfläche und jedem Link, Textauswahl, Screenshots und alle Formulareingaben wie Passwörter, Adressen und Kreditkartennummern. Außerdem gibt es keine Möglichkeit, den benutzerdefinierten Browser zu deaktivieren, der in die betreffenden Apps integriert ist.

Nach der Veröffentlichung dieser Entdeckung Meta hätte reagiert und erklärt, dass die Injektion dieses Codes helfen würde, Ereignisse hinzuzufügen, wie Online-Käufe, bevor sie für zielgerichtete Werbung und Maßnahmen für die Facebook-Plattform verwendet werden. Berichten zufolge fügte das Unternehmen hinzu, dass „wir bei Einkäufen, die über den Browser der App getätigt werden, die Zustimmung des Benutzers einholen, Zahlungsinformationen für Autofill-Zwecke zu speichern“.

Aber für den Forscher Es gibt keinen legitimen Grund, einen Browser in Meta-Anwendungen zu integrieren und zwingen Benutzer, in diesem Browser zu bleiben, wenn sie andere Websites durchsuchen möchten, die nichts mit den Aktivitäten des Unternehmens zu tun haben.

Darüber hinaus würde diese Praxis, Code in Seiten anderer Websites einzufügen, Risiken auf mehreren Ebenen erzeugen:

  • Datenschutz und Analyse: Die Host-App kann buchstäblich alles verfolgen, was auf der Website passiert, wie z. B. jede Berührung, jeder Tastendruck, das Scrollverhalten, welche Inhalte kopiert und eingefügt werden und Daten, die als Online-Käufe angesehen werden.
  • Diebstahl von Benutzeranmeldeinformationen, physischen Adressen, API-Schlüsseln usw.
  • Anzeigen und Verweise: Die Host-App kann Anzeigen in die Website einfügen oder den Anzeigen-API-Schlüssel überschreiben, um Einnahmen aus der Host-App zu stehlen, oder alle URLs überschreiben, um einen Empfehlungscode einzuschließen.
  • Sicherheit: Browser optimieren seit Jahren die Sicherheit des Weberlebnisses des Benutzers, z. B. Anzeige des HTTPS-Verschlüsselungsstatus, Warnung des Benutzers vor unverschlüsselten Websites usw.
  • Das Einfügen von zusätzlichem JavaScript-Code in die Website eines Drittanbieters kann Probleme verursachen, die die Website beschädigen können
  • Browsererweiterungen und Benutzerinhaltsblocker sind nicht verfügbar.
  • Deep-Linking funktioniert in den meisten Fällen nicht gut.
  • Es ist oft nicht einfach, einen Link über andere Plattformen (z. B. E-Mail, AirDrop usw.) zu teilen.

Schließlich Wenn Sie mehr darüber erfahren möchten, Sie können konsultieren die Details im folgenden Link.


Hinterlasse einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert mit *

*

*

  1. Verantwortlich für die Daten: Miguel Ángel Gatón
  2. Zweck der Daten: Kontrolle von SPAM, Kommentarverwaltung.
  3. Legitimation: Ihre Zustimmung
  4. Übermittlung der Daten: Die Daten werden nur durch gesetzliche Verpflichtung an Dritte weitergegeben.
  5. Datenspeicherung: Von Occentus Networks (EU) gehostete Datenbank
  6. Rechte: Sie können Ihre Informationen jederzeit einschränken, wiederherstellen und löschen.