Päämäärä, Facebookin ja Instagramin emoyhtiö, ei lopeta kaikkien aseiden käyttöä joita he pitävät tehokkaina saavuttaaksesi "yksityisyystavoitteesi". ja nyt se on juuri valittu jälleen käytäntöjen vuoksi seurata käyttäjiä verkossa syöttämällä koodia heidän sovelluksiinsa upotettuun selaimeen.
Tämän asian on saattanut suuren yleisön tietoon Felix krause, tietosuojatutkija. Päästäessään tähän johtopäätökseen Felix Krause suunniteltu työkalu, joka pystyy havaitsemaan, onko JavaScript-koodia ruiskutettu sivulla, joka avautuu sisäänrakennetussa selaimessa Instagram-, Facebook- ja Messenger-sovelluksissa, kun käyttäjä napsauttaa linkkiä, joka vie hänet sovelluksen ulkopuoliselle sivulle.
Telegram-sovelluksen avaamisen ja kolmannen osapuolen sivun avaavan linkin napsautuksen jälkeen koodin lisäystä ei havaittu. Kuitenkin toistettaessa samaa kokemusta Instagramin, Messengerin, Facebookin kanssa iOS:ssä ja Androidissa, työkalu salli useiden rivejen lisäämisen injektoitua JavaScript-koodia sen jälkeen, kun sivu oli avattu näihin sovelluksiin sisäänrakennetussa selaimessa.
Tutkijan mukaan ulkoinen JavaScript-tiedosto, jonka Instagram-sovellus lisää (connect.facebook.net/en_US/pcm.js), joka on koodi sillan luomiseksi kommunikointia varten isäntäsovelluksen kanssa.
Lisätietoja, Tutkija havaitsi seuraavan:
Instagram lisää uuden tapahtumakuuntelijan saadakseen tietoja aina, kun käyttäjä valitsee tekstiä verkkosivustolta. Tämä yhdistettynä kuvakaappausten kuunteluun antaa Instagramille täydellisen yleiskatsauksen valituista ja jaetuista tiedoista. Instagram-sovellus tarkistaa kohteen, jonka tunnus on iab-pcm-sdk, joka todennäköisesti viittaa "App Browseriin".
Jos elementtiä, jonka tunnus on iab-pcm-sdk, ei löydy, Instagram luo uuden komentosarjaelementin ja asettaa sen lähteeksi https://connect.facebook.net/en_US/pcm.js
Sitten se löytää ensimmäisen komentosarjaelementin verkkosivustostasi, joka lisää JavaScript-pcm-tiedoston juuri ennen
Instagram etsii myös iframe-kehyksiä verkkosivustolta, mutta sen tekemisestä ei löytynyt tietoa.
Sieltä Krause selittää, että räätälöityjen komentosarjojen lisääminen kolmansien osapuolien verkkosivustoille voivaikka ei ole todisteita siitä, että yritys tekee niin, antaa Metan seurata kaikkia käyttäjien vuorovaikutuksia, kuten vuorovaikutus kunkin painikkeen ja linkin kanssa, tekstivalinnat, kuvakaappaukset ja kaikki lomakkeen syötteet, kuten salasanat, osoitteet ja luottokorttien numerot. Myöskään kyseisten sovellusten mukautettua selainta ei voi poistaa käytöstä.
Tämän löydön julkaisemisen jälkeen Meta olisi reagoinut sanomalla, että tämän koodin lisääminen auttaisi lisäämään tapahtumia, kuten verkko-ostokset, ennen kuin niitä käytetään kohdennettuun mainontaan ja toimenpiteisiin Facebook-alustalle. Yrityksen kerrotaan lisänneen, että "sovelluksen selaimen kautta tehdyissä ostoksissa pyydämme käyttäjän suostumusta tallentaa maksutiedot automaattista täyttöä varten."
Mutta tutkijalle ei ole oikeutettua syytä integroida selainta meta-sovelluksiin ja pakottaa käyttäjät pysymään kyseisessä selaimessa, kun he haluavat selata muita sivustoja, joilla ei ole mitään tekemistä yrityksen toiminnan kanssa.
Lisäksi tämä koodin lisääminen muiden verkkosivustojen sivuille aiheuttaisi riskejä useilla tasoilla:
- Yksityisyys ja analytiikka: Isäntäsovellus voi seurata kirjaimellisesti kaikkea verkkosivustolla tapahtuvaa, kuten jokaista kosketusta, näppäinpainallusta, vierityskäyttäytymistä, kopioitavaa ja liitettyä sisältöä sekä verkko-ostoksina katsottavia tietoja.
- Käyttäjätunnusten, fyysisten osoitteiden, API-avainten jne. varastaminen.
- Mainokset ja viittaukset: Isäntäsovellus voi lisätä mainoksia verkkosivustoon tai ohittaa mainosten API-avaimen varastaakseen tuloja isäntäsovelluksesta tai ohittaa kaikki URL-osoitteet sisällyttääkseen viittauskoodin.
- Suojaus: Selaimet ovat käyttäneet vuosia optimoimalla käyttäjän verkkokokemuksen turvallisuutta, kuten näyttäneet HTTPS-salauksen tilan, varoittaneet käyttäjää salaamattomista verkkosivustoista jne.
- Ylimääräisen JavaScript-koodin lisääminen kolmannen osapuolen verkkosivustoon voi aiheuttaa ongelmia, jotka voivat rikkoa verkkosivuston
- Selainlaajennukset ja käyttäjien sisällön estäjät eivät ole saatavilla.
- Täsmälinkitys ei toimi hyvin useimmissa tapauksissa.
- Usein ei ole helppoa jakaa linkkiä muiden alustojen kautta (esim. sähköposti, AirDrop jne.)
Vihdoin Jos haluat tietää enemmän siitä, voit kuulla yksityiskohdat seuraavassa linkissä.