Meta tidak berhenti menempatkan jari pada saya dan terus melacak pengguna 

Darkcrizt

4 menit

meta, perusahaan induk Facebook dan Instagram, tidak berhenti menggunakan semua senjata yang mereka anggap efektif untuk mencapai tujuan "privasi" Anda dan sekarang telah dipilih lagi untuk praktik pelacakan pengguna di web dengan memasukkan kode ke dalam browser yang disematkan di aplikasi mereka.

Hal ini dibawa ke perhatian masyarakat umum oleh Felix Kraus, penyelidik privasi. Dalam mencapai kesimpulan ini, Felix Krause merancang alat yang mampu mendeteksi jika kode JavaScript disuntikkan di halaman yang terbuka di browser internal di aplikasi Instagram, Facebook, dan Messenger saat pengguna mengklik tautan yang mengarahkan mereka ke halaman di luar aplikasi.

Setelah membuka aplikasi Telegram dan mengklik tautan yang membuka halaman pihak ketiga, tidak ada injeksi kode yang terdeteksi. Namun, ketika mengulangi pengalaman yang sama dengan Instagram, Messenger, Facebook di iOS dan Android, alat ini memungkinkan memasukkan beberapa baris kode JavaScript yang disuntikkan setelah membuka halaman di browser yang dibangun ke dalam aplikasi ini.

Menurut peneliti, file JavaScript eksternal yang disuntikkan aplikasi Instagram adalah (connect.facebook.net/en_US/pcm.js), yang merupakan kode untuk membuat jembatan untuk berkomunikasi dengan aplikasi host.

Keterangan lebih lanjut, Penyidik ​​menemukan hal-hal berikut:

Instagram menambahkan pendengar acara baru untuk mendapatkan detail setiap kali pengguna memilih teks di situs web. Ini, dikombinasikan dengan mendengarkan tangkapan layar, memberi Instagram gambaran lengkap tentang informasi spesifik yang dipilih dan dibagikan. aplikasi Instagram memeriksa item dengan id iab-pcm-sdk yang kemungkinan mengacu pada "In App Browser".
Jika tidak ditemukan elemen dengan id iab-pcm-sdk, Instagram membuat elemen skrip baru dan menyetel sumbernya ke https://connect.facebook.net/en_US/pcm.js
Kemudian menemukan elemen skrip pertama di situs web Anda untuk memasukkan file pcm JavaScript tepat sebelumnya
Instagram juga mencari iframe di situs web, tetapi tidak ada informasi yang ditemukan tentang apa fungsinya.

Dari sana, Krause menjelaskan bahwa menyuntikkan skrip khusus ke situs web pihak ketiga dapat, bahkan jika tidak ada bukti untuk mengkonfirmasi bahwa perusahaan melakukannya, memungkinkan Meta untuk memantau semua interaksi pengguna, seperti interaksi dengan setiap tombol dan tautan, pilihan teks, tangkapan layar, dan semua input formulir seperti kata sandi, alamat, dan nomor kartu kredit. Juga, tidak ada cara untuk menonaktifkan browser khusus yang ada di dalam aplikasi yang dimaksud.

Setelah penemuan ini dipublikasikan, Meta akan bereaksi menyatakan bahwa injeksi kode ini akan membantu menambahkan acara, seperti pembelian online, sebelum digunakan untuk iklan bertarget dan langkah-langkah untuk platform Facebook. Perusahaan dilaporkan menambahkan bahwa "untuk pembelian yang dilakukan melalui browser aplikasi, kami meminta persetujuan pengguna untuk menyimpan informasi pembayaran untuk tujuan pengisian otomatis."

Tetapi bagi peneliti, tidak ada alasan yang sah untuk mengintegrasikan browser ke dalam aplikasi Meta dan memaksa pengguna untuk tetap berada di browser itu ketika mereka ingin menjelajahi situs lain yang tidak ada hubungannya dengan aktivitas perusahaan.

Selain itu, praktik menyuntikkan kode ke halaman situs web lain akan menimbulkan risiko pada beberapa tingkatan:

  • Privasi dan analitik: Aplikasi host dapat melacak secara harfiah semua yang terjadi di situs web, seperti setiap sentuhan, penekanan tombol, perilaku menggulir, konten apa yang disalin dan ditempel, dan data yang dilihat sebagai pembelian online.
  • Pencurian kredensial pengguna, alamat fisik, kunci API, dll.
  • Iklan dan Rujukan: Aplikasi host dapat menyuntikkan iklan ke situs web, atau mengganti kunci API iklan untuk mencuri pendapatan dari aplikasi host, atau mengganti semua URL untuk menyertakan kode rujukan.
  • Keamanan: Browser telah menghabiskan waktu bertahun-tahun untuk mengoptimalkan keamanan pengalaman web pengguna, seperti menampilkan status enkripsi HTTPS, memperingatkan pengguna tentang situs web yang tidak terenkripsi, dll.
  • Menyuntikkan kode JavaScript tambahan ke situs web pihak ketiga dapat menyebabkan masalah yang dapat merusak situs web
  • Ekstensi browser dan pemblokir konten pengguna tidak tersedia.
  • Tautan dalam tidak berfungsi dengan baik dalam banyak kasus.
  • Seringkali tidak mudah untuk membagikan tautan melalui platform lain (mis. email, AirDrop, dll.)

Akhirnya Jika Anda tertarik untuk mengetahui lebih banyak tentang itu, Anda bisa berkonsultasi detailnya di tautan berikut.


tinggalkan Komentar Anda

Alamat email Anda tidak akan dipublikasikan. Bidang yang harus diisi ditandai dengan *

*

*

  1. Penanggung jawab data: Miguel Ángel Gatón
  2. Tujuan data: Mengontrol SPAM, manajemen komentar.
  3. Legitimasi: Persetujuan Anda
  4. Komunikasi data: Data tidak akan dikomunikasikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Basis data dihosting oleh Occentus Networks (UE)
  6. Hak: Anda dapat membatasi, memulihkan, dan menghapus informasi Anda kapan saja.