Meta ora mandheg nyelehake driji ing aku lan terus nglacak pangguna 

darkcrizt | | Noticias

Ora komentar

gol, perusahaan induk Facebook lan Instagram, ora mandheg nggunakake kabeh senjata sing dianggep efektif kanggo nggayuh tujuan "privasi". lan saiki wis dipilih maneh kanggo praktik nelusuri pangguna ing web kanthi nyuntikake kode menyang browser sing dipasang ing aplikasi kasebut.

Prakara iki digawa menyang manungsa waé umum dening Felix Kraus, peneliti privasi. Ing nggayuh kesimpulan iki, Felix Krause ngrancang alat sing bisa ndeteksi yen kode JavaScript disuntikake ing kaca sing mbukak ing browser sing dibangun ing aplikasi Instagram, Facebook, lan Messenger nalika pangguna ngeklik link sing nggawa menyang kaca ing njaba app.

Sawise mbukak aplikasi Telegram lan ngeklik link sing mbukak kaca pihak katelu, ora ana injeksi kode sing dideteksi. Nanging, nalika mbaleni pengalaman sing padha karo Instagram, Messenger, Facebook ing iOS lan Android, alat kasebut ngidini nglebokake sawetara baris kode JavaScript sing disuntikake sawise mbukak kaca ing browser sing dibangun ing aplikasi kasebut.

Miturut peneliti, file JavaScript eksternal sing disuntikake aplikasi Instagram yaiku (connect.facebook.net/en_US/pcm.js), yaiku kode kanggo nggawe jembatan kanggo komunikasi karo aplikasi host.

Rincian liyane, Penyelidik nemokake ing ngisor iki:

Instagram nambahake pamireng acara anyar kanggo entuk rincian kapan pangguna milih teks ing situs web. Iki, digabungake karo ngrungokake gambar, menehi Instagram ringkesan lengkap babagan informasi spesifik sing dipilih lan dituduhake. app Instagram mriksa item kanthi id iab-pcm-sdk sing bisa uga nuduhake "Ing Browser Aplikasi".
Yen ora ana unsur karo id iab-pcm-sdk sing ditemokake, Instagram nggawe unsur skrip anyar lan nyetel sumber menyang https://connect.facebook.net/en_US/pcm.js
Banjur nemokake unsur skrip pisanan ing situs web sampeyan kanggo nglebokake file pcm JavaScript sadurunge
Instagram uga nggoleki iframes ing situs web, nanging ora ana informasi sing ditemokake babagan apa sing ditindakake.

Saka ing kono, Krause nerangake manawa nyuntikake skrip khusus menyang situs web pihak katelu bisa, sanajan ora ana bukti kanggo ngonfirmasi manawa perusahaan nindakake, ngidini Meta ngawasi kabeh interaksi pangguna, kayata interaksi karo saben tombol lan link, pilihan teks, gambar, lan kabeh input formulir kayata sandhi, alamat, lan nomer kertu kredit. Uga, ora ana cara kanggo mateni browser khusus sing dibangun ing aplikasi kasebut.

Sawise publikasi penemuan iki, Meta bakal menehi reaksi sing nyatakake yen injeksi kode iki bakal mbantu nambah acara, kayata tumbas online, sadurunge digunakake kanggo iklan sing ditargetake lan langkah-langkah kanggo platform Facebook. Perusahaan kasebut dilaporake nambahake yen "kanggo tumbas sing digawe liwat browser app, kita njaluk idin pangguna kanggo nyimpen informasi pembayaran kanggo tujuan isi otomatis."

Nanging kanggo peneliti, ora ana alesan sing sah kanggo nggabungake browser menyang aplikasi Meta lan meksa pangguna supaya tetep ing browser kasebut nalika pengin browsing situs liyane sing ora ana hubungane karo kegiatan perusahaan.

Kajaba iku, praktik nyuntikake kode menyang kaca situs web liyane bakal ngasilake risiko ing sawetara tingkat:

  • Privasi lan analytics: Aplikasi host bisa nglacak kanthi harfiah kabeh sing kedadeyan ing situs web, kayata saben tutul, keystroke, prilaku gulung, isi apa sing disalin lan ditempelake, lan data sing dideleng minangka tuku online.
  • Nyolong kredensial pangguna, alamat fisik, kunci API, lsp.
  • Iklan lan Rujukan: Aplikasi inang bisa nyuntikake iklan menyang situs web, utawa ngilangi kunci API iklan kanggo nyolong penghasilan saka aplikasi host, utawa ngilangi kabeh URL kanggo nyakup kode rujukan.
  • Keamanan: Browser wis pirang-pirang taun ngoptimalake keamanan pengalaman web pangguna, kayata nampilake status enkripsi HTTPS, ngelingake pangguna babagan situs web sing ora dienkripsi, lsp.
  • Nyuntikake kode JavaScript tambahan menyang situs web pihak katelu bisa nyebabake masalah sing bisa ngrusak situs web kasebut
  • Ekstensi browser lan pamblokiran konten pangguna ora kasedhiya.
  • Panyambungan jero ora bisa digunakake ing pirang-pirang kasus.
  • Asring ora gampang nuduhake link liwat platform liyane (contone, email, AirDrop, lsp.)

Pungkasan Yen sampeyan kepengin ngerti babagan iki, sampeyan bisa takon rincian ing link ing ngisor iki.


Konten artikel kasebut sesuai karo prinsip kita yaiku etika editorial. Kanggo nglaporake klik kesalahan Kene.

Dadi pisanan komentar

Ninggalake komentar sampeyan

Panjenengan alamat email ora bisa diterbitake. Perangkat kothak ditandhani karo *

*

*

  1. Tanggung jawab data: Miguel Ángel Gatón
  2. Tujuan data: Kontrol SPAM, manajemen komentar.
  3. Legitimasi: idin sampeyan
  4. Komunikasi data: Data kasebut ora bakal dikomunikasikake karo pihak katelu kajaba kanthi kewajiban ukum.
  5. Panyimpenan data: Database sing dianakake dening Occentus Networks (EU)
  6. Hak: Kapan wae sampeyan bisa matesi, mulihake lan mbusak informasi sampeyan.