메타는 나에게 손가락질을 멈추지 않고 사용자 추적을 계속한다 

Darkcrizt

4 분

메타, 페이스북과 인스타그램의 모회사인 모든 무기 사용을 멈추지 않습니다 그들이 효과적이라고 생각하는 귀하의 "프라이버시" 목표를 달성하기 위해 이제 웹에서 사용자를 추적하는 방법으로 응용 프로그램에 포함된 브라우저에 코드를 삽입하는 방식으로 다시 선택되었습니다.

이 문제는 에 의해 일반 대중의 주의를 끌었습니다. 펠릭스 크라우스, 개인 정보 보호 조사관. 이러한 결론에 도달하면서 Felix Krause는 JavaScript 코드 삽입 여부를 감지할 수 있는 도구 설계 사용자가 앱 외부의 페이지로 연결되는 링크를 클릭하면 Instagram, Facebook 및 Messenger 앱의 내장 브라우저에서 열리는 페이지에서

Telegram 앱을 열고 타사 페이지를 여는 링크를 클릭한 후 코드 삽입이 감지되지 않았습니다. 그러나 iOS 및 Android의 Instagram, Messenger, Facebook에서 동일한 경험을 반복할 때 도구를 사용하면 이러한 앱에 내장된 브라우저에서 페이지를 연 후 삽입된 JavaScript 코드의 여러 줄을 삽입할 수 있습니다.

연구원에 따르면 Instagram 앱이 주입하는 외부 JavaScript 파일은 (connect.facebook.net/en_US/pcm.js), 이는 호스트 애플리케이션과 통신하기 위한 브리지를 생성하는 코드입니다.

자세한 내용은, 조사관은 다음을 발견했습니다.

Instagram은 사용자가 웹사이트에서 텍스트를 선택할 때마다 세부 정보를 얻기 위해 새로운 이벤트 리스너를 추가합니다. 이것은 스크린샷 듣기와 결합되어 Instagram에 선택 및 공유된 특정 정보에 대한 완전한 개요를 제공합니다. Instagram 앱은 "In App Browser"를 참조할 가능성이 있는 ID가 iab-pcm-sdk인 항목을 확인합니다.
id가 iab-pcm-sdk인 요소가 없으면 Instagram은 새 스크립트 요소를 만들고 소스를 https://connect.facebook.net/en_US/pcm.js로 설정합니다.
그런 다음 바로 앞에 JavaScript pcm 파일을 삽입하기 위해 웹사이트에서 첫 번째 스크립트 요소를 찾습니다.
인스타그램도 웹사이트에서 iframe을 찾고 있지만 그것이 하는 일에 대한 정보는 찾지 못했습니다.

거기서부터 Krause는 사용자 정의 스크립트를 타사 웹사이트에 삽입하면, 회사가 그렇게 하고 있음을 확인할 수 있는 증거가 없더라도, Meta가 모든 사용자 상호 작용을 모니터링하도록 허용, 각 버튼 및 링크와의 상호 작용, 텍스트 선택, 스크린샷, 비밀번호, 주소 및 신용 카드 번호와 같은 모든 양식 입력과 같은 것입니다. 또한 해당 앱에 내장된 사용자 지정 브라우저를 비활성화할 수 있는 방법이 없습니다.

이 발견이 발표된 후, 메타는 이 코드를 삽입하면 이벤트를 추가하는 데 도움이 될 것이라고 반응했을 것입니다. Facebook 플랫폼에 대한 타겟 광고 및 측정에 사용되기 전에 온라인 구매와 같은 회사는 "앱 브라우저를 통한 구매의 경우 자동 완성을 위해 결제 정보를 저장하는 데 사용자 동의를 구한다"고 덧붙였다.

그러나 연구원의 경우, 브라우저를 메타 애플리케이션에 통합할 정당한 이유가 없습니다. 사용자가 회사의 활동과 관련이 없는 다른 사이트를 탐색할 때 해당 브라우저를 계속 사용하도록 합니다.

또한 다른 웹사이트의 페이지에 코드를 삽입하는 이러한 관행은 여러 수준에서 위험을 생성합니다.

  • 개인 정보 보호 및 분석: 호스트 앱은 모든 터치, 키 입력, 스크롤 동작, 복사하여 붙여넣은 콘텐츠, 온라인 구매로 표시되는 데이터 등 웹사이트에서 발생하는 모든 것을 문자 그대로 추적할 수 있습니다.
  • 사용자 자격 증명, 물리적 주소, API 키 등의 도용
  • 광고 및 추천: 호스트 앱은 웹사이트에 광고를 삽입하거나 광고 API 키를 재정의하여 호스트 앱에서 수익을 훔치거나 모든 URL을 재정의하여 추천 코드를 포함할 수 있습니다.
  • 보안: 브라우저는 HTTPS 암호화 상태 표시, 암호화되지 않은 웹 사이트에 대한 경고 등 사용자 웹 경험의 보안을 최적화하는 데 수년을 보냈습니다.
  • 추가 JavaScript 코드를 타사 웹사이트에 삽입하면 웹사이트가 손상될 수 있는 문제가 발생할 수 있습니다.
  • 브라우저 확장 및 사용자 콘텐츠 차단기는 사용할 수 없습니다.
  • 딥링킹은 대부분의 경우 잘 작동하지 않습니다.
  • 다른 플랫폼(예: 이메일, AirDrop 등)을 통해 링크를 공유하는 것은 종종 쉽지 않습니다.

최종적으로 그것에 대해 더 많이 알고 싶다면 당신은 상담 할 수 있습니다 다음 링크의 세부 사항.


코멘트를 남겨주세요

귀하의 이메일 주소는 공개되지 않습니다. 필수 필드가 표시되어 있습니다 *

*

*

  1. 데이터 책임자 : Miguel Ángel Gatón
  2. 데이터의 목적 : 스팸 제어, 댓글 관리.
  3. 합법성 : 귀하의 동의
  4. 데이터 전달 : 법적 의무에 의한 경우를 제외하고 데이터는 제 XNUMX 자에게 전달되지 않습니다.
  5. 데이터 저장소 : Occentus Networks (EU)에서 호스팅하는 데이터베이스
  6. 권리 : 귀하는 언제든지 귀하의 정보를 제한, 복구 및 삭제할 수 있습니다.