Cél, a Facebook és az Instagram anyavállalata, nem hagyja abba az összes fegyver használatát amit hatékonynak tartanak hogy elérje „adatvédelmi” céljait és most ismét kiemelték a felhasználók internetes nyomon követésére oly módon, hogy kódot fecskendeznek be az alkalmazásaikba ágyazott böngészőbe.
Erre az ügyre hívta fel a nagyközönség figyelmét Felix Kraus, egy adatvédelmi nyomozó. Amikor erre a következtetésre jutott, Felix Krause olyan eszközt tervezett, amely képes észlelni, ha JavaScript kódot injektálnak azon az oldalon, amely megnyílik a beépített böngészőben az Instagram, Facebook és Messenger alkalmazásokban, amikor a felhasználó olyan hivatkozásra kattint, amely az alkalmazáson kívüli oldalra viszi.
Miután megnyitotta a Telegram alkalmazást, és rákattintott egy harmadik fél oldalát megnyitó hivatkozásra, a program nem észlelt kódbefecskendezést. Ha azonban ugyanazt a tapasztalatot megismételtük az Instagrammal, Messengerrel, Facebookkal iOS és Android rendszeren, az eszköz lehetővé tette több sor beszúrt JavaScript kód beillesztését az oldal megnyitása után az alkalmazásokba épített böngészőben.
A kutató szerint az Instagram alkalmazás által beinjektált külső JavaScript-fájl (connect.facebook.net/en_US/pcm.js), amely a gazdagéppel való kommunikációhoz hidat létrehozó kód.
További részletek, A nyomozó a következőket fedezte fel:
Az Instagram új eseményfigyelőt ad hozzá, hogy részleteket kapjon, amikor a felhasználó szöveget választ a webhelyen. Ez a képernyőképek meghallgatásával kombinálva teljes áttekintést ad az Instagramnak a kiválasztott és megosztott konkrét információkról. az Instagram alkalmazás egy iab-pcm-sdk azonosítójú elemet keres, amely valószínűleg az „Alkalmazásböngészőben”-re utal.
Ha nem található iab-pcm-sdk azonosítójú elem, az Instagram új szkriptelemet hoz létre, és a forrását a https://connect.facebook.net/en_US/pcm.js értékre állítja.
Ezután megkeresi az első szkriptelemet a webhelyén, amely előtt beilleszti a JavaScript pcm fájlt
Az Instagram is keres iframe-eket a weboldalon, de nem találtak információt arról, hogy mit csinál.
Innen, Krause elmagyarázza, hogy egyéni szkriptek beillesztése harmadik felek webhelyeibe lehetséges, még ha nincs is bizonyíték arra, hogy a vállalat ezt teszi, lehetővé teszi a Metának, hogy figyelemmel kísérje az összes felhasználói interakciót, például az egyes gombokkal és hivatkozásokkal végzett interakciók, szövegkijelölések, képernyőképek és minden űrlapbevitel, például jelszavak, címek és hitelkártyaszámok. Ezenkívül nincs mód a kérdéses alkalmazásokba épített egyéni böngésző letiltására.
A felfedezés közzététele után A Meta úgy reagált volna, hogy ennek a kódnak az injektálása elősegítené az események hozzáadását, például az online vásárlás, mielőtt azokat célzott reklámozásra és a Facebook platformra vonatkozó intézkedésekre használnák fel. A cég állítólag hozzátette, hogy "az alkalmazás böngészőjén keresztül végrehajtott vásárlások esetén a felhasználó hozzájárulását kérjük a fizetési adatok automatikus kitöltése céljából történő mentéséhez".
De a kutató számára nincs jogos ok a böngésző Meta alkalmazásokba való integrálására és arra kényszeríti a felhasználókat, hogy maradjanak ebben a böngészőben, amikor olyan webhelyeket szeretnének böngészni, amelyeknek semmi közük a cég tevékenységéhez.
Ezenkívül a kód más webhelyek oldalaiba történő beillesztésének gyakorlata több szinten is kockázatot jelent:
- Adatvédelem és elemzés: A gazdagép alkalmazás szó szerint követni tud mindent, ami a webhelyen történik, például minden érintést, gombnyomást, görgetési viselkedést, a másolt és beillesztett tartalmat, valamint az online vásárlásként megtekintett adatokat.
- Felhasználói hitelesítő adatok, fizikai címek, API-kulcsok stb. ellopása.
- Hirdetések és hivatkozások: A gazdagép alkalmazás beszúrhat hirdetéseket a webhelyre, vagy felülírhatja a hirdetések API-kulcsát, hogy bevételt lopjon el a gazdagéptől, vagy felülbírálhatja az összes URL-t, hogy hivatkozási kódot tartalmazzon.
- Biztonság: A böngészők éveket töltöttek azzal, hogy optimalizálják a felhasználó webes élményének biztonságát, például megjelenítsék a HTTPS-titkosítás állapotát, figyelmeztessék a felhasználót a nem titkosított webhelyekre stb.
- További JavaScript-kód beszúrása egy harmadik fél webhelyébe olyan problémákat okozhat, amelyek megszakíthatják a webhelyet
- Böngészőbővítmények és felhasználói tartalomblokkolók nem érhetők el.
- A mélyhivatkozás a legtöbb esetben nem működik megfelelően.
- Gyakran nem könnyű megosztani egy hivatkozást más platformokon (pl. e-mail, AirDrop stb.)
Végül Ha érdekel, hogy többet tudjon meg róla, konzultálhat a részleteket a következő linken.