Meta houdt niet op met de vinger op mij te leggen en gaat door met het volgen van gebruikers 

Darkcrizt

4 minuten

meta, het moederbedrijf van Facebook en Instagram, stopt niet met het gebruiken van alle wapens die zij als effectief beschouwen om uw "privacy" -doelen te bereiken en nu is het zojuist opnieuw uitgekozen voor praktijken van het volgen van gebruikers op internet door code te injecteren in de browser die is ingebed in hun applicaties.

Deze kwestie werd onder de aandacht van het grote publiek gebracht door Felix Krause, een privacy-onderzoeker. Bij het bereiken van deze conclusie, Felix Krause een tool ontworpen die kan detecteren of JavaScript-code wordt geïnjecteerd op de pagina die wordt geopend in de ingebouwde browser in de Instagram-, Facebook- en Messenger-apps wanneer een gebruiker op een link klikt die hem naar een pagina buiten de app brengt.

Na het openen van de Telegram-app en het klikken op een link die een pagina van derden opent, werd geen code-injectie gedetecteerd. Bij het herhalen van dezelfde ervaring met Instagram, Messenger, Facebook op iOS en Android, kon de tool echter meerdere regels geïnjecteerde JavaScript-code invoegen na het openen van de pagina in de browser die in deze applicaties was ingebouwd.

Volgens de onderzoeker het externe JavaScript-bestand dat de Instagram-app injecteert is (connect.facebook.net/en_US/pcm.js), wat code is om een ​​brug te maken om te communiceren met de hosttoepassing.

Meer details, De onderzoeker ontdekte het volgende:

Instagram voegt een nieuwe gebeurtenislistener toe om details te krijgen wanneer de gebruiker tekst op de website selecteert. Dit, in combinatie met het luisteren naar screenshots, geeft Instagram een ​​compleet overzicht van de specifieke informatie die is geselecteerd en gedeeld. de Instagram-app zoekt naar een item met de id iab-pcm-sdk die waarschijnlijk verwijst naar "In App Browser".
Als er geen element met id iab-pcm-sdk wordt gevonden, maakt Instagram een ​​nieuw scriptelement en stelt de bron in op https://connect.facebook.net/en_US/pcm.js
Het vindt dan het eerste scriptelement op uw website om het JavaScript pcm-bestand vlak ervoor in te voegen
Instagram is ook op zoek naar iframes op de website, maar er is geen informatie gevonden over wat het doet.

Vanaf daar Krause legt uit dat het injecteren van aangepaste scripts in websites van derden kan:, zelfs als er geen bewijs is om te bevestigen dat het bedrijf dit doet, Meta toestaan ​​om alle gebruikersinteracties te volgen, zoals interacties met elke knop en link, tekstselecties, schermafbeeldingen en alle formulierinvoer zoals wachtwoorden, adressen en creditcardnummers. Er is ook geen manier om de aangepaste browser die in de betreffende apps is ingebouwd uit te schakelen.

Na de publicatie van deze ontdekking, Meta zou hebben gereageerd door te zeggen dat de injectie van deze code zou helpen om gebeurtenissen toe te voegen, zoals online aankopen, voordat deze worden gebruikt voor gerichte reclame en maatregelen voor het Facebook-platform. Het bedrijf voegde eraan toe dat "voor aankopen die via de browser van de app worden gedaan, we toestemming van de gebruiker vragen om betalingsgegevens op te slaan voor automatisch aanvullen."

Maar voor de onderzoeker er is geen legitieme reden om een ​​browser te integreren in Meta-applicaties en gebruikers dwingen om in die browser te blijven wanneer ze andere sites willen bezoeken die niets te maken hebben met de activiteiten van het bedrijf.

Bovendien zou deze praktijk van het injecteren van code op pagina's van andere websites op verschillende niveaus risico's opleveren:

  • Privacy en analyse: de host-app kan letterlijk alles volgen wat er op de website gebeurt, zoals elke aanraking, toetsaanslag, scrollgedrag, welke inhoud wordt gekopieerd en geplakt en gegevens die worden gezien als online aankopen.
  • Diefstal van gebruikersgegevens, fysieke adressen, API-sleutels, enz.
  • Advertenties en verwijzingen: de host-app kan advertenties in de website invoegen, of de advertentie-API-sleutel overschrijven om inkomsten van de host-app te stelen, of alle URL's overschrijven om een ​​verwijzingscode op te nemen.
  • Beveiliging: Browsers hebben jaren besteed aan het optimaliseren van de beveiliging van de webervaring van de gebruiker, zoals het weergeven van de HTTPS-coderingsstatus, het waarschuwen van de gebruiker over niet-gecodeerde websites, enz.
  • Het injecteren van extra JavaScript-code in een website van een derde partij kan problemen veroorzaken waardoor de website kapot kan gaan
  • Browserextensies en gebruikersinhoudblokkers zijn niet beschikbaar.
  • Deeplinking werkt in de meeste gevallen niet goed.
  • Het is vaak niet eenvoudig om een ​​link te delen via andere platforms (bijv. e-mail, AirDrop, etc.)

Eindelijk Als u er meer over wilt weten, u kunt raadplegen de details in de volgende link.


Laat je reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

*

*

  1. Verantwoordelijk voor de gegevens: Miguel Ángel Gatón
  2. Doel van de gegevens: Controle SPAM, commentaarbeheer.
  3. Legitimatie: uw toestemming
  4. Mededeling van de gegevens: De gegevens worden niet aan derden meegedeeld, behalve op grond van wettelijke verplichting.
  5. Gegevensopslag: database gehost door Occentus Networks (EU)
  6. Rechten: u kunt uw gegevens op elk moment beperken, herstellen en verwijderen.