Meta ne prestaje dizati prst na mene i nastavlja s praćenjem korisnika 

Darkcrizt

4 minuta

Pola, matično društvo Facebooka i Instagrama, ne prestaje koristiti sva oružja koje smatraju učinkovitima kako biste postigli svoje ciljeve "privatnosti". a sada je upravo ponovno izdvojen za prakse praćenja korisnika na webu ubacivanjem koda u preglednik ugrađen u njihove aplikacije.

Na ovu stvar skrenuo je pažnju široj javnosti Felix Kraus, istražitelj privatnosti. Donoseći ovaj zaključak, Felix Krause osmislio alat koji može otkriti je li umetnut JavaScript kôd na stranici koja se otvara u pregledniku ugrađenom u aplikacije Instagram, Facebook i Messenger kada korisnik klikne poveznicu koja ga vodi na stranicu izvan aplikacije.

Nakon otvaranja aplikacije Telegram i klika na poveznicu koja otvara stranicu treće strane, nije otkriveno ubacivanje koda. Međutim, pri ponavljanju istog iskustva s Instagramom, Messengerom, Facebookom na iOS-u i Androidu, alat je omogućio umetanje nekoliko redaka ubrizganog JavaScript koda nakon otvaranja stranice u pregledniku ugrađenom u te aplikacije.

Prema istraživaču, vanjska JavaScript datoteka koju aplikacija Instagram ubacuje je (connect.facebook.net/en_US/pcm.js), što je kod za stvaranje mosta za komunikaciju s glavnom aplikacijom.

Više detalja, Istražitelj je otkrio sljedeće:

Instagram dodaje novi slušač događaja kako bi dobio pojedinosti kad god korisnik odabere tekst na web stranici. Ovo, u kombinaciji sa slušanjem snimaka zaslona, ​​daje Instagramu potpuni pregled specifičnih informacija koje su odabrane i podijeljene. aplikacija Instagram provjerava stavku s ID-om iab-pcm-sdk koja se vjerojatno odnosi na "In App Browser".
Ako nije pronađen element s ID-om iab-pcm-sdk, Instagram stvara novi element skripte i postavlja njegov izvor na https://connect.facebook.net/en_US/pcm.js
Zatim pronalazi prvi element skripte na vašoj web stranici kako bi umetnuo JavaScript pcm datoteku neposredno prije
Instagram također traži iframeove na web stranici, ali nisu pronađene informacije o tome što radi.

Odatle, Krause objašnjava da bi ubacivanje prilagođenih skripti na web stranice trećih strana moglo, čak i ako nema dokaza koji potvrđuju da tvrtka to čini, dopustiti Meta-i da prati sve korisničke interakcije, kao što su interakcije sa svakim gumbom i vezom, odabir teksta, snimke zaslona i svi unosi obrazaca kao što su lozinke, adrese i brojevi kreditnih kartica. Također, ne postoji način da se onemogući prilagođeni preglednik ugrađen u predmetne aplikacije.

Nakon objave ovog otkrića, Meta bi reagirala navodeći da bi ubacivanje ovog koda pomoglo u dodavanju događaja, kao što su online kupnje, prije nego što se iskoriste za ciljano oglašavanje i mjere za Facebook platformu. Tvrtka je navodno dodala da "za kupnje izvršene putem preglednika aplikacije, tražimo pristanak korisnika za spremanje podataka o plaćanju u svrhu automatskog popunjavanja."

Ali za istraživača, ne postoji legitiman razlog za integraciju preglednika u Meta aplikacije i prisiliti korisnike da ostanu u tom pregledniku kada žele pregledavati druge stranice koje nemaju nikakve veze s aktivnostima tvrtke.

Osim toga, ova praksa ubacivanja koda na stranice drugih web stranica stvorila bi rizike na nekoliko razina:

  • Privatnost i analitika: Glavna aplikacija može pratiti doslovno sve što se događa na web stranici, kao što je svaki dodir, pritisak na tipku, ponašanje pomicanja, koji se sadržaj kopira i zalijepi te podaci koji se gledaju kao online kupnje.
  • Krađa korisničkih vjerodajnica, fizičkih adresa, API ključeva itd.
  • Oglasi i preporuke: aplikacija domaćin može umetnuti oglase na web mjesto ili poništiti API ključ za oglase kako bi ukrala prihod od aplikacije domaćina ili poništiti sve URL-ove da bi uključili kod preporuke.
  • Sigurnost: Preglednici godinama optimiziraju sigurnost korisničkog web iskustva, poput prikaza statusa HTTPS enkripcije, upozorenja korisnika o nekriptiranim web stranicama itd.
  • Ubacivanje dodatnog JavaScript koda na web mjesto treće strane može uzrokovati probleme koji mogu pokvariti web mjesto
  • Proširenja preglednika i blokatori korisničkog sadržaja nisu dostupni.
  • Dubinsko povezivanje u većini slučajeva ne funkcionira dobro.
  • Često nije jednostavno podijeliti vezu putem drugih platformi (npr. e-pošta, AirDrop itd.)

Konačno Ako vas zanima više o tome, možete se posavjetovati pojedinosti na sljedećem linku.


Ostavite svoj komentar

Vaša email adresa neće biti objavljen. Obavezna polja su označena s *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obvezi.
  5. Pohrana podataka: Baza podataka koju hostira Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.