Στόχος, η μητρική εταιρεία του Facebook και του Instagram, δεν σταματά να χρησιμοποιεί όλα τα όπλα που θεωρούν αποτελεσματικά για να επιτύχετε τους στόχους «απορρήτου» σας και τώρα μόλις ξεχωρίστηκε ξανά για πρακτικές παρακολούθησης των χρηστών στον Ιστό με την εισαγωγή κώδικα στο πρόγραμμα περιήγησης που είναι ενσωματωμένο στις εφαρμογές τους.
Το θέμα τέθηκε υπόψη του ευρύτερου κοινού από Felix krause, ερευνητής απορρήτου. Στο συμπέρασμα αυτό, ο Felix Krause σχεδίασε ένα εργαλείο ικανό να ανιχνεύει εάν γίνεται έγχυση κώδικα JavaScript στη σελίδα που ανοίγει στο ενσωματωμένο πρόγραμμα περιήγησης στις εφαρμογές Instagram, Facebook και Messenger όταν ένας χρήστης κάνει κλικ σε έναν σύνδεσμο που τον οδηγεί σε μια σελίδα εκτός της εφαρμογής.
Αφού ανοίξετε την εφαρμογή Telegram και κάνετε κλικ σε έναν σύνδεσμο που ανοίγει μια σελίδα τρίτου μέρους, δεν εντοπίστηκε εισαγωγή κώδικα. Ωστόσο, όταν επαναλαμβάνετε την ίδια εμπειρία με το Instagram, το Messenger, το Facebook σε iOS και Android, το εργαλείο επέτρεψε την εισαγωγή πολλών γραμμών κώδικα JavaScript με ένεση μετά το άνοιγμα της σελίδας στο πρόγραμμα περιήγησης που είναι ενσωματωμένο σε αυτές τις εφαρμογές.
Σύμφωνα με τον ερευνητή, είναι το εξωτερικό αρχείο JavaScript που εισάγει η εφαρμογή Instagram (connect.facebook.net/en_US/pcm.js), που είναι κώδικας για τη δημιουργία μιας γέφυρας για την επικοινωνία με την εφαρμογή κεντρικού υπολογιστή.
Περισσότερες λεπτομέρειες, Ο ερευνητής ανακάλυψε τα εξής:
Το Instagram προσθέτει ένα νέο πρόγραμμα ακρόασης συμβάντων για να λαμβάνει λεπτομέρειες κάθε φορά που ο χρήστης επιλέγει κείμενο στον ιστότοπο. Αυτό, σε συνδυασμό με την ακρόαση στιγμιότυπων οθόνης, δίνει στο Instagram μια πλήρη επισκόπηση των συγκεκριμένων πληροφοριών που επιλέχθηκαν και κοινοποιήθηκαν. η εφαρμογή Instagram ελέγχει για ένα στοιχείο με το αναγνωριστικό iab-pcm-sdk που πιθανότατα αναφέρεται στο "Πρόγραμμα περιήγησης στην εφαρμογή".
Εάν δεν βρεθεί στοιχείο με αναγνωριστικό iab-pcm-sdk, το Instagram δημιουργεί ένα νέο στοιχείο σεναρίου και ορίζει την πηγή του σε https://connect.facebook.net/en_US/pcm.js
Στη συνέχεια, βρίσκει το πρώτο στοιχείο σεναρίου στον ιστότοπό σας για να εισαγάγει το αρχείο pcm JavaScript λίγο πριν
Το Instagram αναζητά επίσης iframes στον ιστότοπο, αλλά δεν βρέθηκαν πληροφορίες για το τι κάνει.
Από εκεί, Ο Krause εξηγεί ότι η εισαγωγή προσαρμοσμένων σεναρίων σε ιστότοπους τρίτων θα μπορούσε, ακόμη και αν δεν υπάρχουν στοιχεία που να επιβεβαιώνουν ότι η εταιρεία το κάνει, επιτρέπουν στο Meta να παρακολουθεί όλες τις αλληλεπιδράσεις των χρηστών, όπως αλληλεπιδράσεις με κάθε κουμπί και σύνδεσμο, επιλογές κειμένου, στιγμιότυπα οθόνης και όλες οι εισαγωγές φόρμας όπως κωδικοί πρόσβασης, διευθύνσεις και αριθμοί πιστωτικών καρτών. Επίσης, δεν υπάρχει τρόπος να απενεργοποιήσετε το προσαρμοσμένο πρόγραμμα περιήγησης που είναι ενσωματωμένο στις εν λόγω εφαρμογές.
Μετά τη δημοσίευση αυτής της ανακάλυψης, Η Meta θα είχε αντιδράσει δηλώνοντας ότι η εισαγωγή αυτού του κώδικα θα βοηθούσε στην προσθήκη συμβάντων, όπως ηλεκτρονικές αγορές, πριν χρησιμοποιηθούν για στοχευμένες διαφημίσεις και μέτρα για την πλατφόρμα Facebook. Η εταιρεία φέρεται να πρόσθεσε ότι «για αγορές που πραγματοποιούνται μέσω του προγράμματος περιήγησης της εφαρμογής, ζητάμε τη συναίνεση του χρήστη για την αποθήκευση των στοιχείων πληρωμής για σκοπούς αυτόματης συμπλήρωσης».
Αλλά για τον ερευνητή, δεν υπάρχει νόμιμος λόγος για την ενσωμάτωση ενός προγράμματος περιήγησης σε εφαρμογές Meta και αναγκάζουν τους χρήστες να παραμείνουν σε αυτό το πρόγραμμα περιήγησης όταν θέλουν να περιηγηθούν σε άλλους ιστότοπους που δεν έχουν καμία σχέση με τις δραστηριότητες της εταιρείας.
Επιπλέον, αυτή η πρακτική της εισαγωγής κώδικα σε σελίδες άλλων ιστότοπων θα δημιουργήσει κινδύνους σε διάφορα επίπεδα:
- Απόρρητο και αναλυτικά στοιχεία: Η εφαρμογή υποδοχής μπορεί να παρακολουθεί κυριολεκτικά οτιδήποτε συμβαίνει στον ιστότοπο, όπως κάθε άγγιγμα, πάτημα πλήκτρων, συμπεριφορά κύλισης, περιεχόμενο που αντιγράφεται και επικολλάται και δεδομένα που προβάλλονται ως αγορές στο διαδίκτυο.
- Κλοπή διαπιστευτηρίων χρήστη, φυσικών διευθύνσεων, κλειδιών API κ.λπ.
- Διαφημίσεις και παραπομπές: Η εφαρμογή υποδοχής μπορεί να εισάγει διαφημίσεις στον ιστότοπο ή να παρακάμψει το κλειδί API διαφημίσεων για να υποκλέψει έσοδα από την εφαρμογή υποδοχής ή να παρακάμψει όλες τις διευθύνσεις URL για να συμπεριλάβει έναν κωδικό παραπομπής.
- Ασφάλεια: Τα προγράμματα περιήγησης έχουν περάσει χρόνια βελτιστοποιώντας την ασφάλεια της εμπειρίας ιστού του χρήστη, όπως η εμφάνιση της κατάστασης κρυπτογράφησης HTTPS, η προειδοποίηση του χρήστη για μη κρυπτογραφημένους ιστότοπους κ.λπ.
- Η έγχυση πρόσθετου κώδικα JavaScript σε ιστότοπο τρίτου μέρους μπορεί να προκαλέσει προβλήματα που μπορεί να καταστρέψουν τον ιστότοπο
- Οι επεκτάσεις προγράμματος περιήγησης και τα προγράμματα αποκλεισμού περιεχομένου χρήστη δεν είναι διαθέσιμα.
- Η βαθιά σύνδεση δεν λειτουργεί καλά στις περισσότερες περιπτώσεις.
- Συχνά δεν είναι εύκολο να μοιραστείτε έναν σύνδεσμο μέσω άλλων πλατφορμών (π.χ. email, AirDrop κ.λπ.)
Τελικά Εάν ενδιαφέρεστε να μάθετε περισσότερα γι 'αυτό, μπορείτε να συμβουλευτείτε τις λεπτομέρειες στον παρακάτω σύνδεσμο.