Meta n'arrête pas de me pointer du doigt et continue avec le tracking des utilisateurs 

Darkcrizt

Minutes 4

Moitié, la société mère de Facebook et Instagram, n'arrête pas d'utiliser toutes les armes qu'ils jugent efficaces pour atteindre vos objectifs de "vie privée" et voilà qu'il vient à nouveau d'être pointé du doigt pour des pratiques de traçage des utilisateurs sur le web en injectant du code dans le navigateur embarqué dans leurs applications.

Cette affaire a été portée à l'attention du grand public par Felix Krause, un enquêteur sur la protection de la vie privée. En parvenant à cette conclusion, Felix Krause conçu un outil capable de détecter si du code JavaScript est injecté sur la page qui s'ouvre dans le navigateur intégré des applications Instagram, Facebook et Messenger lorsqu'un utilisateur clique sur un lien qui le dirige vers une page en dehors de l'application.

Après avoir ouvert l'application Telegram et cliqué sur un lien qui ouvre une page tierce, aucune injection de code n'a été détectée. Cependant, en répétant la même expérience avec Instagram, Messenger, Facebook sur iOS et Android, l'outil permettait d'insérer plusieurs lignes de code JavaScript injecté après l'ouverture de la page dans le navigateur intégré à ces applications.

Selon le chercheur, le fichier JavaScript externe que l'application Instagram injecte est (connect.facebook.net/en_US/pcm.js), qui est du code pour créer un pont pour communiquer avec l'application hôte.

Plus de détails, L'enquêteur a découvert ce qui suit :

Instagram ajoute un nouvel écouteur d'événements pour obtenir des détails chaque fois que l'utilisateur sélectionne du texte sur le site Web. Ceci, combiné à l'écoute des captures d'écran, donne à Instagram un aperçu complet des informations spécifiques qui ont été sélectionnées et partagées. l'application Instagram recherche un élément avec l'id iab-pcm-sdk qui fait probablement référence à "In App Browser".
Si aucun élément avec l'id iab-pcm-sdk n'est trouvé, Instagram crée un nouvel élément de script et définit sa source sur https://connect.facebook.net/en_US/pcm.js
Il trouve ensuite le premier élément de script sur votre site Web pour insérer le fichier pcm JavaScript juste avant
Instagram recherche également des iframes sur le site Web, mais aucune information n'a été trouvée sur ce qu'il fait.

À partir de là, Krause explique que l'injection de scripts personnalisés dans des sites Web tiers pourrait, même s'il n'existe aucune preuve confirmant que l'entreprise le fait, permettre à Meta de surveiller toutes les interactions des utilisateurs, telles que les interactions avec chaque bouton et lien, les sélections de texte, les captures d'écran et toutes les entrées de formulaire telles que les mots de passe, les adresses et les numéros de carte de crédit. De plus, il n'y a aucun moyen de désactiver le navigateur personnalisé intégré aux applications en question.

Après la publication de cette découverte, Meta aurait réagi en précisant que l'injection de ce code aiderait à ajouter des événements, tels que les achats en ligne, avant qu'ils ne soient utilisés pour la publicité ciblée et les mesures pour la plateforme Facebook. La société aurait ajouté que "pour les achats effectués via le navigateur de l'application, nous demandons le consentement de l'utilisateur pour enregistrer les informations de paiement à des fins de remplissage automatique".

Mais pour le chercheur, il n'y a aucune raison légitime d'intégrer un navigateur dans les applications Meta et forcer les utilisateurs à rester dans ce navigateur lorsqu'ils veulent naviguer sur d'autres sites qui n'ont rien à voir avec les activités de l'entreprise.

De plus, cette pratique consistant à injecter du code dans des pages d'autres sites Web générerait des risques à plusieurs niveaux :

  • Confidentialité et analyse : l'application hôte peut suivre littéralement tout ce qui se passe sur le site Web, comme chaque touche, frappe, comportement de défilement, quel contenu est copié et collé, et les données considérées comme des achats en ligne.
  • Vol des informations d'identification des utilisateurs, des adresses physiques, des clés API, etc.
  • Annonces et références : l'application hôte peut injecter des annonces sur le site Web, ou remplacer la clé API des annonces pour voler des revenus à l'application hôte, ou remplacer toutes les URL pour inclure un code de référence.
  • Sécurité : les navigateurs ont passé des années à optimiser la sécurité de l'expérience Web de l'utilisateur, comme l'affichage de l'état de cryptage HTTPS, l'avertissement de l'utilisateur sur les sites Web non cryptés, etc.
  • L'injection de code JavaScript supplémentaire dans un site Web tiers peut entraîner des problèmes susceptibles de casser le site Web.
  • Les extensions de navigateur et les bloqueurs de contenu utilisateur ne sont pas disponibles.
  • Les liens profonds ne fonctionnent pas bien dans la plupart des cas.
  • Il n'est souvent pas facile de partager un lien via d'autres plateformes (par exemple, e-mail, AirDrop, etc.)

Enfin Si vous souhaitez en savoir plus, vous pouvez consulter les détails dans le lien suivant.


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données: Miguel Ángel Gatón
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.