Įvartis, patronuojanti „Facebook“ ir „Instagram“ įmonė, nenustoja naudoti visų ginklų kuriuos laiko veiksmingais siekdami savo „privatumo“ tikslų ir dabar jis vėl buvo išskirtas už vartotojų stebėjimą žiniatinklyje įvedant kodą į naršyklę, įterptą į jų programas.
Į šį klausimą plačiosios visuomenės dėmesį atkreipė Feliksas Krausas, privatumo tyrėjas. Darydamas tokią išvadą Feliksas Krause sukūrė įrankį, galintį aptikti, ar įvedamas JavaScript kodas puslapyje, kuris atidaromas integruotoje naršyklėje „Instagram“, „Facebook“ ir „Messenger“ programose, kai vartotojas spusteli nuorodą, nukreipiančią jį į puslapį, esantį už programos ribų.
Atidarius „Telegram“ programą ir spustelėjus nuorodą, kuri atidaro trečiosios šalies puslapį, kodo įterpimas nebuvo aptiktas. Tačiau kartojant tą pačią patirtį su Instagram, Messenger, Facebook iOS ir Android, įrankis leido įterpti kelias eilutes įšvirkšto JavaScript kodo atidarius puslapį šiose programėlėse įmontuotoje naršyklėje.
Pasak tyrėjos, išorinis „JavaScript“ failas, kurį įveda „Instagram“ programa (connect.facebook.net/en_US/pcm.js), kuris yra kodas, skirtas sukurti tiltą, kad būtų galima susisiekti su pagrindine programa.
Daugiau informacijos, Tyrėjas nustatė šiuos dalykus:
„Instagram“ prideda naują įvykių klausytoją, kad gautų išsamią informaciją, kai vartotojas pasirenka tekstą svetainėje. Tai kartu su ekrano kopijų klausymu suteikia „Instagram“ išsamią konkrečios pasirinktos ir bendrinamos informacijos apžvalgą. „Instagram“ programa tikrina, ar nėra elemento, kurio ID iab-pcm-sdk, kuris greičiausiai reiškia „Programų naršyklėje“.
Jei nerandamas elementas su ID iab-pcm-sdk, Instagram sukuria naują scenarijaus elementą ir nustato jo šaltinį į https://connect.facebook.net/en_US/pcm.js
Tada jis randa pirmąjį scenarijaus elementą jūsų svetainėje, kad įterptų JavaScript pcm failą prieš pat
„Instagram“ svetainėje taip pat ieško „iframe“, tačiau informacijos apie tai, ką ji daro, nerasta.
Iš ten, Krause paaiškina, kad tinkintų scenarijų įterpimas į trečiųjų šalių svetaines galėtų, net jei nėra įrodymų, patvirtinančių, kad įmonė tai daro, leisti Meta stebėti visas vartotojo sąveikas, pvz., sąveikos su kiekvienu mygtuku ir nuoroda, teksto pasirinkimai, ekrano kopijos ir visos formos įvestis, pvz., slaptažodžiai, adresai ir kredito kortelių numeriai. Be to, jokiu būdu negalima išjungti pasirinktinės naršyklės, integruotos į atitinkamas programas.
Paskelbus šį atradimą, Meta būtų sureagavusi teigdama, kad šio kodo įvedimas padėtų pridėti įvykių, pavyzdžiui, pirkimai internetu, prieš juos panaudojant tikslinei reklamai ir Facebook platformos priemonėms. Pranešama, kad bendrovė pridūrė, kad „perkant per programos naršyklę, prašome vartotojo sutikimo išsaugoti mokėjimo informaciją automatinio pildymo tikslais“.
Tačiau tyrėjui nėra jokios teisėtos priežasties integruoti naršyklę į Meta programas ir priversti vartotojus likti toje naršyklėje, kai jie nori naršyti kitose svetainėse, kurios neturi nieko bendra su įmonės veikla.
Be to, ši praktika įterpiant kodą į kitų svetainių puslapius keltų pavojų keliais lygiais:
- Privatumas ir analizė: prieglobos programa gali tiesiogine prasme stebėti viską, kas vyksta svetainėje, pvz., kiekvieną prisilietimą, klavišo paspaudimą, slinkimo elgseną, nukopijuotą ir įklijuotą turinį ir duomenis, kurie žiūrimi kaip pirkiniai internetu.
- Vartotojo kredencialų, fizinių adresų, API raktų ir kt. vagystė.
- Skelbimai ir persiuntimai: prieglobos programa gali įterpti skelbimus į svetainę arba nepaisyti skelbimų API rakto, kad pavogtų pajamas iš prieglobos programos, arba nepaisyti visų URL, kad įtrauktų persiuntimo kodą.
- Sauga: naršyklės daug metų optimizavo naudotojo žiniatinklio naudojimo saugumą, pvz., rodydamos HTTPS šifravimo būseną, įspėdamos vartotoją apie nešifruotas svetaines ir pan.
- Papildomo „JavaScript“ kodo įvedimas į trečiosios šalies svetainę gali sukelti problemų, kurios gali sugadinti svetainę
- Naršyklės plėtiniai ir vartotojų turinio blokavimo priemonės nepasiekiami.
- Daugeliu atvejų gilusis susiejimas neveikia gerai.
- Dažnai nėra lengva pasidalinti nuoroda per kitas platformas (pvz., el. paštą, „AirDrop“ ir kt.)
Pagaliau Jei norite sužinoti daugiau apie tai, galite pasikonsultuoti išsami informacija šioje nuorodoje.