Meta, la empresa matriz de Facebook e Instagram, no deja de utilizar todas las armas que consideran eficaces para lograr sus objetivos en materia de Ā«privacidadĀ»Ā y ahora acaba de ser seƱalada nuevamente por prĆ”cticas de rastreo de usuarios en la web mediante la inyecciĆ³n de cĆ³digo en el navegador integrado en sus aplicaciones.
Este asunto fue puesto en conocimiento del pĆŗblico en general por Felix Krause, un investigador de privacidad. Para llegar a esta conclusiĆ³n, Felix Krause diseĆ±Ć³ una herramienta capaz de detectar si se inyecta cĆ³digo JavaScript en la pĆ”gina que se abre en el navegador integrado en las aplicaciones de Instagram, Facebook y Messenger cuando un usuario hace clic en un enlace que lo redirige a una pĆ”gina fuera de la aplicaciĆ³n.
DespuĆ©s de abrir la aplicaciĆ³n Telegram y hacer clic en un enlace que abre una pĆ”gina de un tercero, no se detectĆ³ ninguna inyecciĆ³n de cĆ³digo. Sin embargo, cuando repitiĆ³ la misma experiencia con Instagram, Messenger, Facebook en iOS y Android la herramienta permitiĆ³ insertar varias lĆneas de cĆ³digo JavaScript inyectado despuĆ©s de abrir la pĆ”gina en el navegador integrado en estas aplicaciones.
SegĆŗn el investigador, el archivo JavaScript externo que inyecta la aplicaciĆ³n de Instagram es (connect.facebook.net/en_US/pcm.js), que es un cĆ³digo para crear un puente para comunicarse con la aplicaciĆ³n host.
Con mĆ”s detalle, el investigador descubriĆ³ lo siguiente:
Instagram estĆ” agregando un nuevo detector de eventos para obtener detalles cada vez que el usuario selecciona texto en el sitio web. Esto, combinado con escuchar capturas de pantalla, le da a Instagram una visiĆ³n general completa de la informaciĆ³n especĆfica que se seleccionĆ³ y compartiĆ³ la aplicaciĆ³n de Instagram verifica si hay un elemento con el id iab-pcm-sdk que probablemente se refiera a Ā«In App BrowserĀ».
Si no se encuentra ningĆŗn elemento con id iab-pcm-sdk, Instagram crea un nuevo elemento de secuencia de comandos y establece su fuente en https://connect.facebook.net/en_US/pcm.js
Luego encuentra el primer elemento de secuencia de comandos en su sitio web para insertar el archivo pcm JavaScript justo antes
Instagram tambiĆ©n estĆ” buscando iframes en el sitio web, pero no se encontrĆ³ informaciĆ³n sobre lo que hace.
A partir de ahĆ, Krause explica que inyectar scripts personalizados en sitios web de terceros podrĆa, incluso si no hay evidencia que confirme que la empresa lo estĆ” haciendo, permitir que Meta monitoree todas las interacciones de los usuarios, como interacciones con cada botĆ³n y enlace, selecciones de texto, capturas de pantalla y todas las entradas de formularios, como contraseƱas, direcciones y nĆŗmeros de tarjetas de crĆ©dito. AdemĆ”s, no hay forma de desactivar el navegador personalizado integrado en las aplicaciones en cuestiĆ³n.
DespuĆ©s de la publicaciĆ³n de este descubrimiento, Meta habrĆa reaccionado afirmando que la inyecciĆ³n de este cĆ³digo ayudarĆa a agregar eventos, como compras en lĆnea, antes de que se utilicen para publicidad dirigida y medidas para la plataforma de Facebook. SegĆŗn los informes, la compaƱĆa agregĆ³ que Ā«para las compras realizadas a travĆ©s del navegador de la aplicaciĆ³n, solicitamos el consentimiento del usuario para guardar la informaciĆ³n de pago con fines de autocompletarĀ».
Pero para el investigador, no existe una razĆ³n legĆtima para integrar un navegador en las aplicaciones de Meta y obligar a los usuarios a permanecer en ese navegador cuando quieren navegar en otros sitios que no tienen nada que ver con las actividades de la firma.
AdemĆ”s, esta prĆ”ctica de inyectar cĆ³digo en pĆ”ginas de otros sitios web generarĆa riesgos en varios niveles:
- Privacidad y anĆ”lisis: la aplicaciĆ³n host puede rastrear literalmente todo lo que sucede en el sitio web, como cada toque, pulsaciĆ³n de tecla, comportamiento de desplazamiento, quĆ© contenido se copia y pega, y los datos se ven como compras en lĆnea.
- Robo de credenciales de usuario, direcciones fĆsicas, claves API, etc.
- Anuncios y referencias: la aplicaciĆ³n host puede inyectar anuncios en el sitio web, o anular la clave API de anuncios para robar ingresos de la aplicaciĆ³n host, o anular todas las URL para incluir un cĆ³digo de referencia.
- Seguridad: los navegadores llevan aƱos optimizando la seguridad de la experiencia del usuario en la web, como mostrar el estado del cifrado HTTPS, advertir al usuario sobre sitios web no cifrados, etc.
- Inyectar cĆ³digo JavaScript adicional en un sitio web de terceros puede causar problemas que pueden romper el sitio web
- Las extensiones del navegador y los bloqueadores de contenido del usuario no estƔn disponibles.
- Los enlaces profundos no funcionan bien en la mayorĆa de los casos.
- A menudo, no es fĆ”cil compartir un enlace a travĆ©s de otras plataformas (por ejemplo, correo electrĆ³nico, AirDrop, etc.)
Finalmente si estƔs interesado en poder conocer mƔs al respecto, puedes consultar los detalles en el siguiente enlace.