Halv, morselskapet til Facebook og Instagram, slutter ikke å bruke alle våpen som de anser som effektive for å nå dine "personvern"-mål og nå har den nettopp blitt skilt ut igjen for praksis med å spore brukere på nettet ved å injisere kode i nettleseren som er innebygd i applikasjonene deres.
Denne saken ble gjort oppmerksom på allmennheten av Felix Kraus, en personvernetterforsker. Ved å nå denne konklusjonen, Felix Krause utviklet et verktøy som er i stand til å oppdage om JavaScript-kode injiseres på siden som åpnes i den innebygde nettleseren i Instagram-, Facebook- og Messenger-appene når en bruker klikker på en lenke som tar vedkommende til en side utenfor appen.
Etter å ha åpnet Telegram-appen og klikket på en lenke som åpner en tredjepartsside, ble ingen kodeinjeksjon oppdaget. Men når du gjentok den samme opplevelsen med Instagram, Messenger, Facebook på iOS og Android, tillot verktøyet å sette inn flere linjer med injisert JavaScript-kode etter å ha åpnet siden i nettleseren innebygd i disse applikasjonene.
Ifølge forskeren, den eksterne JavaScript-filen som Instagram-appen injiserer er (connect.facebook.net/en_US/pcm.js), som er kode for å lage en bro for å kommunisere med vertsapplikasjonen.
Mer informasjon, Etterforskeren oppdaget følgende:
Instagram legger til en ny eventlytter for å få detaljer når brukeren velger tekst på nettstedet. Dette, kombinert med å lytte til skjermbilder, gir Instagram en fullstendig oversikt over den spesifikke informasjonen som ble valgt ut og delt. Instagram-appen ser etter et element med id-en iab-pcm-sdk, som sannsynligvis refererer til "In App Browser".
Hvis ingen element med id iab-pcm-sdk blir funnet, oppretter Instagram et nytt skriptelement og setter kilden til https://connect.facebook.net/en_US/pcm.js
Den finner deretter det første skriptelementet på nettstedet ditt for å sette inn JavaScript pcm-filen rett før
Instagram leter også etter iframes på nettsiden, men det ble ikke funnet informasjon om hva det gjør.
Derfra, Krause forklarer at injisering av tilpassede skript på tredjeparts nettsteder kan, selv om det ikke er bevis som bekrefter at selskapet gjør det, la Meta overvåke alle brukerinteraksjoner, som interaksjoner med hver knapp og lenke, tekstvalg, skjermbilder og alle skjemainndata som passord, adresser og kredittkortnumre. Det er heller ingen måte å deaktivere den tilpassede nettleseren innebygd i de aktuelle appene.
Etter publiseringen av denne oppdagelsen, Meta ville ha reagert og uttalt at injeksjonen av denne koden ville bidra til å legge til hendelser, som nettkjøp, før de brukes til målrettet annonsering og tiltak for Facebook-plattformen. Selskapet skal ha lagt til at "for kjøp gjort gjennom appens nettleser, ber vi om brukersamtykke for å lagre betalingsinformasjon for autofyllformål."
Men for forskeren, det er ingen legitim grunn til å integrere en nettleser i Meta-applikasjoner og tvinge brukere til å bli i den nettleseren når de vil bla gjennom andre nettsteder som ikke har noe med firmaets aktiviteter å gjøre.
I tillegg vil denne praksisen med å injisere kode på sider på andre nettsteder generere risiko på flere nivåer:
- Personvern og analyser: Vertsappen kan spore bokstavelig talt alt som skjer på nettstedet, for eksempel hver berøring, tastetrykk, rulleadferd, hvilket innhold som kopieres og limes inn, og data sett på som nettkjøp.
- Tyveri av brukerlegitimasjon, fysiske adresser, API-nøkler, etc.
- Annonser og henvisninger: Vertsappen kan injisere annonser på nettstedet, eller overstyre ads API-nøkkelen for å stjele inntekter fra vertsappen, eller overstyre alle nettadresser for å inkludere en henvisningskode.
- Sikkerhet: Nettlesere har brukt år på å optimalisere sikkerheten til brukerens nettopplevelse, for eksempel å vise HTTPS-krypteringsstatus, advare brukeren om ukrypterte nettsider, etc.
- Å injisere ekstra JavaScript-kode på et tredjepartsnettsted kan forårsake problemer som kan ødelegge nettstedet
- Nettleserutvidelser og blokkering av brukerinnhold er ikke tilgjengelig.
- Dypkobling fungerer ikke bra i de fleste tilfeller.
- Det er ofte ikke lett å dele en lenke via andre plattformer (f.eks. e-post, AirDrop, etc.)
Endelig Hvis du er interessert i å vite mer om det, du kan konsultere detaljene i følgende lenke.