eesmärk, Facebooki ja Instagrami emaettevõte, ei lõpeta kõigi relvade kasutamist mida nad peavad tõhusaks oma privaatsuseesmärkide saavutamiseks ja nüüd tõsteti see äsja taas esile kasutajate jälgimise tavade jaoks veebis, sisestades koodi nende rakendustesse manustatud brauserisse.
Sellele asjale juhtis laiema avalikkuse tähelepanu Felix Kraus, privaatsusuurija. Sellele järeldusele jõudes Felix Krause loodud tööriist, mis suudab tuvastada, kas JavaScripti kood on sisestatud lehel, mis avaneb Instagrami, Facebooki ja Messengeri rakenduste sisseehitatud brauseris, kui kasutaja klõpsab lingil, mis viib ta rakendusest väljapoole jäävale lehele.
Pärast Telegrami rakenduse avamist ja lingil klõpsamist, mis avab kolmanda osapoole lehe, koodi sisestamist ei tuvastatud. Korrates aga sama kogemust Instagrami, Messengeri, Facebookiga iOS-is ja Androidis, võimaldas tööriist pärast lehe avamist nendesse rakendustesse sisseehitatud brauseris sisestada mitu rida sisestatud JavaScripti koodi.
Teadlase sõnul väline JavaScripti fail, mille Instagrami rakendus sisestab (connect.facebook.net/en_US/pcm.js), mis on kood hostrakendusega suhtlemiseks silla loomiseks.
Rohkem detaile, Uurija avastas järgmise:
Instagram lisab uue sündmuste kuulaja, et saada üksikasju, kui kasutaja valib veebisaidil teksti. See koos ekraanipiltide kuulamisega annab Instagramile täieliku ülevaate valitud ja jagatud konkreetsest teabest. Instagrami rakendus otsib üksust ID-ga iab-pcm-sdk, mis tõenäoliselt viitab rakendusele „In App Browser”.
Kui ühtegi elementi ID-ga iab-pcm-sdk ei leita, loob Instagram uue skriptielemendi ja määrab selle allikaks https://connect.facebook.net/en_US/pcm.js
Seejärel leiab see teie veebisaidilt esimese skriptielemendi, mis vahetult enne JavaScripti pcm-faili sisestab
Instagram otsib veebisaidilt ka iframe'e, kuid selle kohta ei leitud teavet.
Sealt Krause selgitab, et kohandatud skriptide sisestamine kolmandate osapoolte veebisaitidele võiks, isegi kui puuduvad tõendid, mis kinnitaksid, et ettevõte seda teeb, lubada Metal jälgida kõiki kasutaja interaktsioone, nagu interaktsioonid iga nupu ja lingiga, tekstivalikud, ekraanipildid ja kõik vormisisendid, nagu paroolid, aadressid ja krediitkaardinumbrid. Samuti ei saa kõnealustesse rakendustesse sisseehitatud kohandatud brauserit keelata.
Pärast selle avastuse avaldamist Meta oleks reageerinud väitega, et selle koodi sisestamine aitaks sündmusi lisada, nagu veebiostud, enne kui neid kasutatakse sihipäraseks reklaamiks ja meetmeteks Facebooki platvormi jaoks. Ettevõte lisas väidetavalt, et "rakenduse brauseri kaudu tehtud ostude puhul küsime kasutajalt nõusolekut makseteabe salvestamiseks automaatse täitmise eesmärgil."
Kuid teadlase jaoks brauseri integreerimiseks metarakendustesse pole õigustatud põhjust ja sundida kasutajaid sellesse brauserisse jääma, kui nad soovivad sirvida muid saite, millel pole ettevõtte tegevusega mingit pistmist.
Lisaks tekitaks selline tava sisestada koodi teiste veebisaitide lehtedele mitmel tasandil riske.
- Privaatsus ja analüüs: hostirakendus suudab jälgida sõna otseses mõttes kõike, mis veebisaidil toimub, nagu iga puudutus, klahvivajutused, kerimiskäitumine, kopeeritav ja kleebitud sisu ning veebiostudena kuvatavad andmed.
- Kasutaja mandaatide, füüsiliste aadresside, API võtmete jms vargus.
- Reklaamid ja viited: hostrakendus võib sisestada veebisaidile reklaame või alistada reklaamide API võtme, et varastada hostirakenduselt tulu, või alistada kõik URL-id, et lisada viitekood.
- Turvalisus: brauserid on aastaid kulutanud kasutaja veebikogemuse turvalisuse optimeerimisele, näiteks kuvanud HTTPS-i krüptimise olekut, hoiatanud kasutajat krüptimata veebisaitide eest jne.
- Täiendava JavaScripti koodi sisestamine kolmanda osapoole veebisaidile võib põhjustada probleeme, mis võivad veebisaidi rikkuda
- Brauserilaiendid ja kasutaja sisu blokeerijad pole saadaval.
- Sügav linkimine ei tööta enamikul juhtudel hästi.
- Sageli ei ole lihtne linki teiste platvormide kaudu (nt e-post, AirDrop jne) jagada.
Lõpuks Kui soovite sellest rohkem teada saada, saate nõu pidada üksikasjad järgmisel lingil.