मेटा माझ्यावर बोट ठेवण्याचे थांबवत नाही आणि वापरकर्त्यांचा मागोवा घेत आहे 

Darkcrizt

4 मिनिटे

ध्येय, फेसबुक आणि इंस्टाग्रामची मूळ कंपनी, सर्व शस्त्रे वापरणे थांबवत नाही ते प्रभावी मानतात तुमची "गोपनीयता" उद्दिष्टे साध्य करण्यासाठी आणि आता वेबवर वापरकर्त्यांना त्यांच्या ऍप्लिकेशन्समध्ये एम्बेड केलेल्या ब्राउझरमध्ये कोड इंजेक्ट करून त्यांचा मागोवा घेण्याच्या सरावांसाठी ते पुन्हा एकत्र केले गेले आहे.

यांनी ही बाब सर्वसामान्यांच्या निदर्शनास आणून दिली फेलिक्स क्रॉस, एक गोपनीयता अन्वेषक. या निष्कर्षापर्यंत पोहोचताना, फेलिक्स क्रॉस JavaScript कोड इंजेक्ट केला आहे की नाही हे शोधण्यास सक्षम साधन डिझाइन केले आहे इंस्टाग्राम, Facebook आणि मेसेंजर अॅप्समधील बिल्ट-इन ब्राउझरमध्ये उघडलेल्या पृष्ठावर जेव्हा वापरकर्ता एखाद्या लिंकवर क्लिक करतो जे त्यांना अॅपच्या बाहेरील पृष्ठावर घेऊन जाते.

टेलीग्राम अॅप उघडल्यानंतर आणि तृतीय-पक्ष पृष्ठ उघडणाऱ्या लिंकवर क्लिक केल्यानंतर, कोणतेही कोड इंजेक्शन आढळले नाही. तथापि, iOS आणि Android वर Instagram, Messenger, Facebook वर समान अनुभवाची पुनरावृत्ती करताना, टूलने या ऍप्लिकेशन्समध्ये तयार केलेल्या ब्राउझरमध्ये पृष्ठ उघडल्यानंतर इंजेक्शन केलेल्या JavaScript कोडच्या अनेक ओळी समाविष्ट करण्याची परवानगी दिली.

संशोधकाच्या मते, Instagram अॅप इंजेक्ट करते ती बाह्य JavaScript फाइल आहे (connect.facebook.net/en_US/pcm.js), जे होस्ट ऍप्लिकेशनशी संवाद साधण्यासाठी ब्रिज तयार करण्यासाठी कोड आहे.

अधिक माहितीसाठी, अन्वेषकाने खालील गोष्टी शोधल्या:

जेव्हा वापरकर्ता वेबसाइटवर मजकूर निवडतो तेव्हा तपशील मिळविण्यासाठी Instagram नवीन इव्हेंट श्रोता जोडत आहे. हे, स्क्रीनशॉट ऐकण्यासोबत एकत्रितपणे, Instagram ला निवडलेल्या आणि सामायिक केलेल्या विशिष्ट माहितीचे संपूर्ण विहंगावलोकन देते. Instagram अॅप iab-pcm-sdk आयडी असलेल्या आयटमची तपासणी करते जी बहुधा "इन अॅप ब्राउझर" चा संदर्भ देत आहे.
iab-pcm-sdk आयडी असलेला कोणताही घटक न आढळल्यास, Instagram एक नवीन स्क्रिप्ट घटक तयार करते आणि त्याचा स्रोत https://connect.facebook.net/en_US/pcm.js वर सेट करते.
ते नंतर तुमच्या वेबसाइटवर JavaScript pcm फाइल टाकण्यासाठी प्रथम स्क्रिप्ट घटक शोधते
Instagram वेबसाइटवर iframes देखील शोधत आहे, परंतु ते काय करते याबद्दल कोणतीही माहिती आढळली नाही.

तिथून, क्रॉस स्पष्ट करतात की तृतीय पक्ष वेबसाइट्समध्ये कस्टम स्क्रिप्ट इंजेक्ट करणे शक्य आहे, कंपनी असे करत असल्याची पुष्टी करणारा कोणताही पुरावा नसला तरीही, मेटाला सर्व वापरकर्त्यांच्या परस्परसंवादांचे निरीक्षण करण्याची अनुमती द्या, जसे की प्रत्येक बटण आणि लिंकसह परस्परसंवाद, मजकूर निवड, स्क्रीनशॉट आणि सर्व फॉर्म इनपुट जसे की पासवर्ड, पत्ते आणि क्रेडिट कार्ड नंबर. तसेच, प्रश्नातील अॅप्समध्ये तयार केलेला सानुकूल ब्राउझर अक्षम करण्याचा कोणताही मार्ग नाही.

हा शोध प्रकाशित झाल्यानंतर, या कोडच्या इंजेक्शनने इव्हेंट जोडण्यास मदत होईल असे सांगून मेटाने प्रतिक्रिया दिली असेल, जसे की ऑनलाइन खरेदी, लक्ष्यित जाहिरातींसाठी वापरण्यापूर्वी आणि Facebook प्लॅटफॉर्मसाठी उपाययोजना. कंपनीने कथितपणे जोडले की "अ‍ॅपच्या ब्राउझरद्वारे केलेल्या खरेदीसाठी, आम्ही ऑटोफिल हेतूंसाठी पेमेंट माहिती जतन करण्यासाठी वापरकर्त्याची संमती मागतो."

पण संशोधकासाठी, मेटा ऍप्लिकेशन्समध्ये ब्राउझर समाकलित करण्याचे कोणतेही वैध कारण नाही आणि वापरकर्त्यांना त्या ब्राउझरमध्ये राहण्यास भाग पाडते जेव्हा त्यांना इतर साइट्स ब्राउझ करायच्या असतात ज्यांचा फर्मच्या क्रियाकलापांशी काहीही संबंध नाही.

याव्यतिरिक्त, इतर वेबसाइट्सच्या पृष्ठांवर कोड इंजेक्ट करण्याचा हा सराव अनेक स्तरांवर जोखीम निर्माण करेल:

  • गोपनीयता आणि विश्लेषणे: होस्ट अॅप वेबसाइटवर घडणाऱ्या प्रत्येक गोष्टीचा अक्षरशः मागोवा घेऊ शकतो, जसे की प्रत्येक स्पर्श, की दाबणे, स्क्रोलिंग वर्तन, कोणती सामग्री कॉपी आणि पेस्ट केली जाते आणि ऑनलाइन खरेदी म्हणून पाहिलेला डेटा.
  • वापरकर्ता क्रेडेन्शियल, भौतिक पत्ते, API की इ.ची चोरी.
  • जाहिराती आणि रेफरल्स: होस्ट अॅप वेबसाइटमध्ये जाहिराती इंजेक्ट करू शकतो किंवा होस्ट अॅपवरून महसूल चोरण्यासाठी जाहिरात API की ओव्हरराइड करू शकतो किंवा रेफरल कोड समाविष्ट करण्यासाठी सर्व URL ओव्हरराइड करू शकतो.
  • सुरक्षितता: ब्राउझरने वापरकर्त्याच्या वेब अनुभवाची सुरक्षितता ऑप्टिमाइझ करण्यात अनेक वर्षे घालवली आहेत, जसे की HTTPS एन्क्रिप्शन स्थिती प्रदर्शित करणे, वापरकर्त्याला एनक्रिप्ट न केलेल्या वेबसाइटबद्दल चेतावणी देणे इ.
  • तृतीय पक्षाच्या वेबसाइटमध्ये अतिरिक्त JavaScript कोड इंजेक्ट केल्याने समस्या उद्भवू शकतात ज्यामुळे वेबसाइट खंडित होऊ शकते
  • ब्राउझर विस्तार आणि वापरकर्ता सामग्री अवरोधक उपलब्ध नाहीत.
  • डीप लिंकिंग बहुतेक प्रकरणांमध्ये चांगले कार्य करत नाही.
  • इतर प्लॅटफॉर्मद्वारे (उदा. ईमेल, एअरड्रॉप इ.) लिंक शेअर करणे सहसा सोपे नसते.

शेवटी आपल्याला त्याबद्दल अधिक जाणून घेण्यात स्वारस्य असल्यास, आपण सल्ला घेऊ शकता पुढील लिंकमधील तपशील.


आपली टिप्पणी द्या

आपला ई-मेल पत्ता प्रकाशित केला जाणार नाही. आवश्यक फील्ड चिन्हांकित केले आहेत *

*

*

  1. डेटा जबाबदार: मिगुएल Áन्गल गॅटन
  2. डेटाचा उद्देशः नियंत्रण स्पॅम, टिप्पणी व्यवस्थापन.
  3. कायदे: आपली संमती
  4. डेटा संप्रेषण: कायदेशीर बंधन वगळता डेटा तृतीय पक्षास कळविला जाणार नाही.
  5. डेटा संग्रहण: ओकेन्टस नेटवर्क (EU) द्वारा होस्ट केलेला डेटाबेस
  6. अधिकारः कोणत्याही वेळी आपण आपली माहिती मर्यादित, पुनर्प्राप्त आणि हटवू शकता.