Meta nu încetează să pună degetul pe mine și continuă cu urmărirea utilizatorilor 

Darkcrizt

Minute 4

Jumătate, compania-mamă a Facebook și Instagram, nu încetează să folosească toate armele pe care le consideră eficiente pentru a vă atinge obiectivele de „confidențialitate”. iar acum tocmai a fost evidențiat din nou pentru practicile de urmărire a utilizatorilor pe web prin injectarea de cod în browserul încorporat în aplicațiile lor.

Această problemă a fost adusă în atenția publicului larg de către Felix Kraus, un investigator de confidențialitate. Pentru a ajunge la această concluzie, Felix Krause a conceput un instrument capabil să detecteze dacă este injectat cod JavaScript pe pagina care se deschide în browserul încorporat în aplicațiile Instagram, Facebook și Messenger atunci când un utilizator face clic pe un link care îl duce la o pagină din afara aplicației.

După deschiderea aplicației Telegram și făcând clic pe un link care deschide o pagină terță parte, nu a fost detectată nicio injecție de cod. Cu toate acestea, la repetarea aceleiași experiențe cu Instagram, Messenger, Facebook pe iOS și Android, instrumentul a permis inserarea mai multor linii de cod JavaScript injectat după deschiderea paginii în browserul încorporat în aceste aplicații.

Potrivit cercetătorului, fișierul JavaScript extern pe care aplicația Instagram îl injectează este (connect.facebook.net/en_US/pcm.js), care este cod pentru a crea o punte pentru a comunica cu aplicația gazdă.

Mai multe detalii, Anchetatorul a descoperit următoarele:

Instagram adaugă un nou ascultător de evenimente pentru a obține detalii ori de câte ori utilizatorul selectează text pe site. Acest lucru, combinat cu ascultarea capturilor de ecran, oferă Instagramului o imagine de ansamblu completă a informațiilor specifice care au fost selectate și partajate. aplicația Instagram verifică un articol cu ​​id-ul iab-pcm-sdk care probabil se referă la „În browserul aplicației”.
Dacă nu este găsit niciun element cu id iab-pcm-sdk, Instagram creează un nou element de script și își setează sursa la https://connect.facebook.net/en_US/pcm.js
Apoi găsește primul element de script pe site-ul dvs. pentru a insera fișierul JavaScript pcm chiar înainte
Instagram caută și iframe pe site, dar nu au fost găsite informații despre ceea ce face.

De acolo, Krause explică că injectarea de scripturi personalizate în site-uri web terțe ar putea, chiar dacă nu există dovezi care să confirme că societatea face acest lucru, permite Meta să monitorizeze toate interacțiunile utilizatorului, cum ar fi interacțiunile cu fiecare buton și link, selecții de text, capturi de ecran și toate intrările de formulare, cum ar fi parolele, adresele și numerele cărților de credit. De asemenea, nu există nicio modalitate de a dezactiva browserul personalizat încorporat în aplicațiile în cauză.

După publicarea acestei descoperiri, Meta ar fi reacționat afirmând că injectarea acestui cod ar ajuta la adăugarea de evenimente, cum ar fi achizițiile online, înainte ca acestea să fie utilizate pentru publicitate direcționată și măsuri pentru platforma Facebook. Compania a adăugat că „pentru achizițiile efectuate prin browserul aplicației, solicităm consimțământul utilizatorului pentru a salva informațiile de plată în scopuri de completare automată”.

Dar pentru cercetător, nu există niciun motiv legitim pentru a integra un browser în aplicațiile Meta și obligă utilizatorii să rămână în acel browser atunci când doresc să răsfoiască alte site-uri care nu au nicio legătură cu activitățile firmei.

În plus, această practică de a injecta cod în paginile altor site-uri web ar genera riscuri pe mai multe niveluri:

  • Confidențialitate și analiză: aplicația gazdă poate urmări literalmente tot ceea ce se întâmplă pe site, cum ar fi fiecare atingere, apăsare de taste, comportament de defilare, conținutul copiat și lipit și datele vizualizate ca achiziții online.
  • Furtul de acreditări ale utilizatorilor, adrese fizice, chei API etc.
  • Anunțuri și recomandări: aplicația gazdă poate injecta reclame pe site sau poate suprascrie cheia API pentru anunțuri pentru a fura veniturile din aplicația gazdă sau poate suprascrie toate adresele URL pentru a include un cod de recomandare.
  • Securitate: Browserele au petrecut ani de zile optimizând securitatea experienței web a utilizatorului, cum ar fi afișarea stării de criptare HTTPS, avertizarea utilizatorului despre site-uri web necriptate etc.
  • Injectarea unui cod JavaScript suplimentar într-un site web terță parte poate cauza probleme care pot distruge site-ul
  • Extensiile de browser și dispozitivele de blocare a conținutului utilizatorului nu sunt disponibile.
  • Deep linking nu funcționează bine în majoritatea cazurilor.
  • De multe ori nu este ușor să partajați un link prin alte platforme (de exemplu, e-mail, AirDrop etc.)

În cele din urmă Dacă sunteți interesat să aflați mai multe despre asta, puteți consulta detaliile din următorul link.


Lasă comentariul tău

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

*

*

  1. Responsabil pentru date: Miguel Ángel Gatón
  2. Scopul datelor: Control SPAM, gestionarea comentariilor.
  3. Legitimare: consimțământul dvs.
  4. Comunicarea datelor: datele nu vor fi comunicate terților decât prin obligație legală.
  5. Stocarea datelor: bază de date găzduită de Occentus Networks (UE)
  6. Drepturi: în orice moment vă puteți limita, recupera și șterge informațiile.