Meta tidak berhenti meletakkan jari pada saya dan meneruskan penjejakan pengguna 

Darkcrizt

Minit 4

Tujuan, syarikat induk Facebook dan Instagram, tidak berhenti menggunakan semua senjata yang mereka anggap berkesan untuk mencapai matlamat "privasi" anda dan kini ia baru sahaja dipilih semula untuk amalan menjejak pengguna di web dengan menyuntik kod ke dalam penyemak imbas yang dibenamkan dalam aplikasi mereka.

Perkara ini telah didedahkan kepada masyarakat umum oleh Felix Kraus, penyiasat privasi. Dalam mencapai kesimpulan ini, Felix Krause mereka bentuk alat yang mampu mengesan jika kod JavaScript disuntik pada halaman yang dibuka dalam penyemak imbas terbina dalam dalam apl Instagram, Facebook dan Messenger apabila pengguna mengklik pautan yang membawa mereka ke halaman di luar apl.

Selepas membuka aplikasi Telegram dan mengklik pautan yang membuka halaman pihak ketiga, tiada suntikan kod dikesan. Walau bagaimanapun, apabila mengulangi pengalaman yang sama dengan Instagram, Messenger, Facebook pada iOS dan Android, alat itu membenarkan memasukkan beberapa baris kod JavaScript yang disuntik selepas membuka halaman dalam penyemak imbas yang dibina ke dalam aplikasi ini.

Menurut penyelidik, fail JavaScript luaran yang disuntik apl Instagram adalah (connect.facebook.net/en_US/pcm.js), iaitu kod untuk mencipta jambatan untuk berkomunikasi dengan aplikasi hos.

Maklumat lanjut, Penyiasat mendapati perkara berikut:

Instagram sedang menambah pendengar acara baharu untuk mendapatkan butiran apabila pengguna memilih teks di tapak web. Ini, digabungkan dengan mendengar tangkapan skrin, memberikan Instagram gambaran keseluruhan lengkap tentang maklumat khusus yang telah dipilih dan dikongsi. apl Instagram menyemak item dengan id iab-pcm-sdk yang mungkin merujuk kepada "Pelayar Dalam Apl".
Jika tiada unsur dengan id iab-pcm-sdk ditemui, Instagram mencipta elemen skrip baharu dan menetapkan sumbernya kepada https://connect.facebook.net/en_US/pcm.js
Ia kemudian mencari elemen skrip pertama di tapak web anda untuk memasukkan fail pcm JavaScript sebelum ini
Instagram juga sedang mencari iframe di tapak web, tetapi tiada maklumat ditemui tentang perkara yang dilakukannya.

Dari situ, Krause menjelaskan bahawa menyuntik skrip tersuai ke dalam tapak web pihak ketiga boleh, walaupun tiada bukti untuk mengesahkan bahawa syarikat berbuat demikian, membenarkan Meta memantau semua interaksi pengguna, seperti interaksi dengan setiap butang dan pautan, pilihan teks, tangkapan skrin, dan semua input borang seperti kata laluan, alamat dan nombor kad kredit. Selain itu, tiada cara untuk melumpuhkan penyemak imbas tersuai yang terbina dalam apl berkenaan.

Selepas penerbitan penemuan ini, Meta akan bertindak balas dengan menyatakan bahawa suntikan kod ini akan membantu untuk menambah acara, seperti pembelian dalam talian, sebelum ia digunakan untuk pengiklanan yang disasarkan dan ukuran untuk platform Facebook. Syarikat itu dilaporkan menambah bahawa "untuk pembelian yang dibuat melalui penyemak imbas apl, kami meminta persetujuan pengguna untuk menyimpan maklumat pembayaran bagi tujuan autolengkap."

Tetapi bagi pengkaji, tiada sebab yang sah untuk menyepadukan pelayar ke dalam aplikasi Meta dan memaksa pengguna untuk kekal dalam penyemak imbas itu apabila mereka ingin menyemak imbas tapak lain yang tiada kaitan dengan aktiviti firma itu.

Di samping itu, amalan menyuntik kod ini ke dalam halaman tapak web lain akan menjana risiko pada beberapa peringkat:

  • Privasi dan analitis: Apl hos boleh menjejaki secara literal semua yang berlaku di tapak web, seperti setiap sentuhan, tekan kekunci, gelagat menatal, kandungan yang disalin dan ditampal serta data dilihat sebagai pembelian dalam talian.
  • Kecurian bukti kelayakan pengguna, alamat fizikal, kunci API, dsb.
  • Iklan dan Rujukan: Apl hos boleh menyuntik iklan ke dalam tapak web, atau mengatasi kunci API iklan untuk mencuri hasil daripada apl hos, atau mengatasi semua URL untuk memasukkan kod rujukan.
  • Keselamatan: Penyemak imbas telah menghabiskan masa bertahun-tahun untuk mengoptimumkan keselamatan pengalaman web pengguna, seperti memaparkan status penyulitan HTTPS, memberi amaran kepada pengguna tentang tapak web yang tidak disulitkan, dsb.
  • Menyuntik kod JavaScript tambahan ke dalam tapak web pihak ketiga boleh menyebabkan isu yang boleh memecahkan tapak web
  • Sambungan penyemak imbas dan penyekat kandungan pengguna tidak tersedia.
  • Pautan dalam tidak berfungsi dengan baik dalam kebanyakan kes.
  • Selalunya tidak mudah untuk berkongsi pautan melalui platform lain (cth. e-mel, AirDrop, dsb.)

Akhirnya Sekiranya anda berminat untuk mengetahui lebih lanjut mengenainya, anda boleh berunding perinciannya di pautan berikut.


Tinggalkan komen anda

Alamat email anda tidak akan disiarkan. Ruangan yang diperlukan ditanda dengan *

*

*

  1. Bertanggungjawab atas data: Miguel Ángel Gatón
  2. Tujuan data: Mengendalikan SPAM, pengurusan komen.
  3. Perundangan: Persetujuan anda
  4. Komunikasi data: Data tidak akan disampaikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Pangkalan data yang dihoskan oleh Occentus Networks (EU)
  6. Hak: Pada bila-bila masa anda boleh menghadkan, memulihkan dan menghapus maklumat anda.