Mērķis, Facebook un Instagram mātes uzņēmums, nebeidz lietot visus ieročus ko viņi uzskata par efektīvu lai sasniegtu savus “privātuma” mērķus un tagad tas atkal tika izcelts par lietotāju izsekošanas praksi tīmeklī, ievadot kodu viņu lietojumprogrammās iegultajā pārlūkprogrammā.
Plašas sabiedrības uzmanību šim jautājumam pievērsa Fēlikss Krauss, privātuma izmeklētājs. Nonākot pie šāda secinājuma, Fēlikss Krauze izstrādāts rīks, kas spēj noteikt, vai tiek ievadīts JavaScript kods lapā, kas tiek atvērta iebūvētajā pārlūkprogrammā lietotnēs Instagram, Facebook un Messenger, kad lietotājs noklikšķina uz saites, kas viņu novirza uz lapu ārpus lietotnes.
Pēc lietotnes Telegram atvēršanas un noklikšķināšanas uz saites, kas atver trešās puses lapu, koda ievadīšana netika konstatēta. Tomēr, atkārtojot to pašu pieredzi ar Instagram, Messenger, Facebook operētājsistēmās iOS un Android, rīks ļāva ievietot vairākas ievadītā JavaScript koda rindas pēc lapas atvēršanas šajās lietojumprogrammās iebūvētajā pārlūkprogrammā.
Pēc pētnieka domām, ārējais JavaScript fails, ko injicē Instagram lietotne (connect.facebook.net/en_US/pcm.js), kas ir kods, lai izveidotu tiltu saziņai ar resursdatora lietojumprogrammu.
Skatīt vairāk, Izmeklētājs atklāja sekojošo:
Instagram pievieno jaunu notikumu klausītāju, lai iegūtu informāciju ikreiz, kad lietotājs vietnē atlasa tekstu. Tas apvienojumā ar ekrānuzņēmumu klausīšanos sniedz Instagram pilnīgu pārskatu par konkrēto informāciju, kas tika atlasīta un kopīgota. Instagram lietotne pārbauda, vai nav vienumu ar ID iab-pcm-sdk, kas, iespējams, attiecas uz “Lietotņu pārlūkprogrammā”.
Ja netiek atrasts neviens elements ar id iab-pcm-sdk, Instagram izveido jaunu skripta elementu un iestata tā avotu uz https://connect.facebook.net/en_US/pcm.js
Pēc tam jūsu vietnē tiek atrasts pirmais skripta elements, lai tieši pirms tam ievietotu JavaScript pcm failu
Arī Instagram vietnē meklē iframe, taču netika atrasta informācija par to, ko tas dara.
No turienes Krause skaidro, ka pielāgotu skriptu ievadīšana trešo pušu vietnēs varētu būt iespējama, pat ja nav pierādījumu, kas apstiprinātu, ka uzņēmums to dara, ļauj Meta pārraudzīt visas lietotāja mijiedarbības, piemēram, mijiedarbība ar katru pogu un saiti, teksta atlase, ekrānuzņēmumi un visas veidlapas ievades, piemēram, paroles, adreses un kredītkaršu numuri. Tāpat nav iespējams atspējot attiecīgajās lietotnēs iebūvēto pielāgoto pārlūkprogrammu.
Pēc šī atklājuma publicēšanas Meta būtu reaģējusi, norādot, ka šī koda ievadīšana palīdzētu pievienot notikumus, piemēram, pirkumiem tiešsaistē, pirms tie tiek izmantoti mērķtiecīgai reklāmai un pasākumiem Facebook platformai. Tiek ziņots, ka uzņēmums piebilda, ka "par pirkumiem, kas veikti, izmantojot lietotnes pārlūkprogrammu, mēs lūdzam lietotāja piekrišanu, lai saglabātu maksājumu informāciju automātiskās aizpildīšanas nolūkos."
Bet pētniekam, nav likumīga iemesla integrēt pārlūkprogrammu Meta lietojumprogrammās un piespiest lietotājus palikt šajā pārlūkprogrammā, kad viņi vēlas pārlūkot citas vietnes, kurām nav nekāda sakara ar uzņēmuma darbībām.
Turklāt šāda koda ievadīšanas prakse citu vietņu lapās radītu riskus vairākos līmeņos:
- Konfidencialitāte un analītika: resursdatora lietotne var izsekot burtiski visam, kas notiek vietnē, piemēram, katru pieskārienu, taustiņu nospiešanu, ritināšanas darbību, kopēto un ielīmēto saturu un datus, kas tiek skatīti kā pirkumi tiešsaistē.
- Lietotāju akreditācijas datu, fizisko adrešu, API atslēgu u.c. zādzība.
- Reklāmas un novirzīšanas: mitinātāja lietotne var ievietot reklāmas vietnē vai ignorēt reklāmu API atslēgu, lai no resursdatora lietotnes zagtu ieņēmumus, vai ignorēt visus URL, lai iekļautu novirzīšanas kodu.
- Drošība: pārlūkprogrammas ir pavadījušas vairākus gadus, optimizējot lietotāja tīmekļa pieredzes drošību, piemēram, rādot HTTPS šifrēšanas statusu, brīdinot lietotāju par nešifrētām vietnēm utt.
- Papildu JavaScript koda ievadīšana trešās puses vietnē var izraisīt problēmas, kas var sabojāt vietni
- Pārlūka paplašinājumi un lietotāju satura bloķētāji nav pieejami.
- Dziļā saite vairumā gadījumu nedarbojas labi.
- Bieži vien nav viegli koplietot saiti, izmantojot citas platformas (piemēram, e-pastu, AirDrop utt.)
Beidzot Ja jūs interesē uzzināt vairāk par to, jūs varat konsultēties sīkāku informāciju šajā saitē.