Obbiettivo, la società madre di Facebook e Instagram, non smette di usare tutte le armi che ritengono efficaci per raggiungere i tuoi obiettivi di “privacy”. e ora è stato appena individuato di nuovo per le pratiche di tracciamento degli utenti sul Web iniettando codice nel browser incorporato nelle loro applicazioni.
La questione è stata portata all'attenzione del pubblico da Felix krause, un investigatore della privacy. Nel raggiungere questa conclusione, Felix Krause ha progettato uno strumento in grado di rilevare se viene iniettato codice JavaScript nella pagina che si apre nel browser integrato nelle app Instagram, Facebook e Messenger quando un utente fa clic su un collegamento che lo porta a una pagina esterna all'app.
Dopo aver aperto l'app Telegram e aver fatto clic su un collegamento che apre una pagina di terze parti, non è stata rilevata alcuna iniezione di codice. Tuttavia, ripetendo la stessa esperienza con Instagram, Messenger, Facebook su iOS e Android, lo strumento ha consentito di inserire diverse righe di codice JavaScript iniettato dopo aver aperto la pagina nel browser integrato in queste applicazioni.
Secondo il ricercatore, il file JavaScript esterno che l'app di Instagram inietta è (connect.facebook.net/en_US/pcm.js), che è il codice per creare un bridge per comunicare con l'applicazione host.
Più dettagli, L'investigatore ha scoperto quanto segue:
Instagram sta aggiungendo un nuovo listener di eventi per ottenere dettagli ogni volta che l'utente seleziona il testo sul sito web. Questo, combinato con l'ascolto di screenshot, offre a Instagram una panoramica completa delle informazioni specifiche che sono state selezionate e condivise. l'app di Instagram verifica la presenza di un elemento con l'id iab-pcm-sdk che probabilmente si riferisce a "In App Browser".
Se non viene trovato alcun elemento con id iab-pcm-sdk, Instagram crea un nuovo elemento di script e ne imposta l'origine su https://connect.facebook.net/en_US/pcm.js
Quindi trova il primo elemento di script sul tuo sito Web per inserire il file pcm JavaScript appena prima
Anche Instagram sta cercando iframe sul sito Web, ma non è stata trovata alcuna informazione su ciò che fa.
Da lì, Krause spiega che è possibile inserire script personalizzati in siti Web di terze parti, anche se non ci sono prove che confermino che la società lo stia facendo, consentire a Meta di monitorare tutte le interazioni degli utenti, come interazioni con ciascun pulsante e collegamento, selezioni di testo, schermate e tutti gli input di moduli come password, indirizzi e numeri di carta di credito. Inoltre, non è possibile disabilitare il browser personalizzato integrato nelle app in questione.
Dopo la pubblicazione di questa scoperta, Meta avrebbe reagito affermando che l'iniezione di questo codice avrebbe aiutato ad aggiungere eventi, come gli acquisti online, prima che vengano utilizzati per pubblicità mirata e misure per la piattaforma Facebook. Secondo quanto riferito, la società ha aggiunto che "per gli acquisti effettuati tramite il browser dell'app, chiediamo il consenso dell'utente per salvare le informazioni di pagamento ai fini della compilazione automatica".
Ma per il ricercatore non vi è alcun motivo legittimo per integrare un browser nelle applicazioni Meta e costringere gli utenti a rimanere in quel browser quando vogliono navigare in altri siti che non hanno nulla a che fare con le attività dell'azienda.
Inoltre, questa pratica di iniettare codice in pagine di altri siti web genererebbe rischi a diversi livelli:
- Privacy e analisi: l'app host può tracciare letteralmente tutto ciò che accade sul sito Web, come ogni tocco, pressione di un tasto, comportamento di scorrimento, quali contenuti vengono copiati e incollati e dati visualizzati come acquisti online.
- Furto di credenziali utente, indirizzi fisici, chiavi API, ecc.
- Annunci e referral: l'app host può inserire annunci nel sito Web o sostituire la chiave API degli annunci per rubare entrate dall'app host o ignorare tutti gli URL per includere un codice referral.
- Sicurezza: i browser hanno impiegato anni a ottimizzare la sicurezza dell'esperienza web dell'utente, come visualizzare lo stato della crittografia HTTPS, avvisare l'utente di siti Web non crittografati, ecc.
- L'inserimento di codice JavaScript aggiuntivo in un sito Web di terze parti può causare problemi che possono danneggiare il sito Web
- Le estensioni del browser e i blocchi dei contenuti utente non sono disponibili.
- Il deep linking non funziona bene nella maggior parte dei casi.
- Spesso non è facile condividere un link attraverso altre piattaforme (es. email, AirDrop, ecc.)
Infine Se sei interessato a saperne di più, puoi consultare i dettagli nel seguente link.