Meta não para de colocar o dedo em mim e continua com o rastreamento de usuários 

Darkcrizt

Minutos 4

Metade, a empresa-mãe do Facebook e Instagram, não para de usar todas as armas que consideram eficaz para atingir seus objetivos de "privacidade" e agora acaba de ser destacado novamente para práticas de rastreamento de usuários na web, injetando código no navegador incorporado em seus aplicativos.

Este assunto foi levado ao conhecimento do público em geral por Felix Krause, um investigador de privacidade. Ao chegar a esta conclusão, Felix Krause projetou uma ferramenta capaz de detectar se o código JavaScript é injetado na página que é aberta no navegador integrado aos aplicativos Instagram, Facebook e Messenger quando um usuário clica em um link que o leva a uma página fora do aplicativo.

Depois de abrir o aplicativo Telegram e clicar em um link que abre uma página de terceiros, nenhuma injeção de código foi detectada. No entanto, ao repetir a mesma experiência com Instagram, Messenger, Facebook no iOS e Android, a ferramenta permitiu inserir várias linhas de código JavaScript injetado após abrir a página no navegador embutido nesses aplicativos.

Segundo o pesquisador, o arquivo JavaScript externo que o aplicativo Instagram injeta é (connect.facebook.net/en_US/pcm.js), que é o código para criar uma ponte para se comunicar com o aplicativo host.

Mais detalhes, O investigador descobriu o seguinte:

O Instagram está adicionando um novo ouvinte de eventos para obter detalhes sempre que o usuário selecionar texto no site. Isso, combinado com a audição de capturas de tela, fornece ao Instagram uma visão geral completa das informações específicas que foram selecionadas e compartilhadas. o aplicativo do Instagram verifica se há um item com o id iab-pcm-sdk que provavelmente está se referindo a “No navegador de aplicativos”.
Se nenhum elemento com id iab-pcm-sdk for encontrado, o Instagram cria um novo elemento de script e define sua fonte para https://connect.facebook.net/en_US/pcm.js
Em seguida, ele encontra o primeiro elemento de script em seu site para inserir o arquivo JavaScript pcm logo antes
O Instagram também está procurando iframes no site, mas nenhuma informação foi encontrada sobre o que ele faz.

A partir daí, Krause explica que a injeção de scripts personalizados em sites de terceiros pode, mesmo que não haja evidências para confirmar que a empresa está fazendo isso, permitir que o Meta monitore todas as interações do usuário, como interações com cada botão e link, seleções de texto, capturas de tela e todas as entradas de formulário, como senhas, endereços e números de cartão de crédito. Além disso, não há como desabilitar o navegador personalizado integrado aos aplicativos em questão.

Após a publicação desta descoberta, Meta teria reagido afirmando que a injeção desse código ajudaria a adicionar eventos, como compras online, antes de serem usadas para publicidade direcionada e medidas para a plataforma do Facebook. A empresa teria acrescentado que "para compras feitas através do navegador do aplicativo, pedimos o consentimento do usuário para salvar as informações de pagamento para fins de preenchimento automático".

Mas para o pesquisador, não há motivo legítimo para integrar um navegador em aplicativos Meta e forçar os usuários a permanecerem nesse navegador quando quiserem navegar em outros sites que não tenham nada a ver com as atividades da empresa.

Além disso, essa prática de injetar código em páginas de outros sites geraria riscos em vários níveis:

  • Privacidade e análise: o aplicativo host pode rastrear literalmente tudo o que acontece no site, como cada toque, pressionamento de tecla, comportamento de rolagem, qual conteúdo é copiado e colado e dados vistos como compras online.
  • Roubo de credenciais de usuário, endereços físicos, chaves de API, etc.
  • Anúncios e referências: o aplicativo host pode injetar anúncios no site ou substituir a chave da API de anúncios para roubar receita do aplicativo host ou substituir todos os URLs para incluir um código de referência.
  • Segurança: os navegadores otimizam a segurança da experiência do usuário na web há anos, como exibir o status da criptografia HTTPS, avisar o usuário sobre sites não criptografados etc.
  • A injeção de código JavaScript adicional em um site de terceiros pode causar problemas que podem quebrar o site
  • As extensões do navegador e os bloqueadores de conteúdo do usuário não estão disponíveis.
  • Os links diretos não funcionam bem na maioria dos casos.
  • Muitas vezes não é fácil compartilhar um link por meio de outras plataformas (por exemplo, e-mail, AirDrop, etc.)

Finalmente Se você estiver interessado em saber mais sobre isso, você pode consultar os detalhes no link a seguir.


Deixe um comentário

Seu endereço de email não será publicado. Campos obrigatórios são marcados com *

*

*

  1. Responsável pelos dados: Miguel Ángel Gatón
  2. Finalidade dos dados: Controle de SPAM, gerenciamento de comentários.
  3. Legitimação: Seu consentimento
  4. Comunicação de dados: Os dados não serão comunicados a terceiros, exceto por obrigação legal.
  5. Armazenamento de dados: banco de dados hospedado pela Occentus Networks (UE)
  6. Direitos: A qualquer momento você pode limitar, recuperar e excluir suas informações.