Половина, материнская компания Facebook и Instagram, не перестает использовать все оружие что они считают эффективным для достижения ваших целей «конфиденциальности» и теперь он только что снова был выделен для практики отслеживания пользователей в Интернете путем внедрения кода в браузер, встроенный в их приложения.
На эту тему обратил внимание общественности Феликс Краузе, следователь конфиденциальности. Придя к такому выводу, Феликс Краузе разработал инструмент, способный определять, внедряется ли код JavaScript на странице, которая открывается во встроенном браузере в приложениях Instagram, Facebook и Messenger, когда пользователь нажимает на ссылку, которая ведет на страницу вне приложения.
После открытия приложения Telegram и перехода по ссылке, открывающей стороннюю страницу, внедрения кода обнаружено не было. Однако при повторении того же опыта с Instagram, Messenger, Facebook на iOS и Android инструмент позволял вставлять несколько строк внедренного кода JavaScript после открытия страницы в браузере, встроенном в эти приложения.
По мнению исследователя, внешний файл JavaScript, который внедряет приложение Instagram, (Connect.facebook.net/en_US/pcm.js), который представляет собой код для создания моста для связи с хост-приложением.
Подробнее, Следователь обнаружил следующее:
Instagram добавляет новый прослушиватель событий, чтобы получать подробную информацию всякий раз, когда пользователь выбирает текст на веб-сайте. Это, в сочетании с прослушиванием скриншотов, дает Instagram полный обзор конкретной информации, которая была выбрана и передана. Приложение Instagram проверяет элемент с идентификатором iab-pcm-sdk, который, вероятно, относится к «В браузере приложений».
Если элемент с идентификатором iab-pcm-sdk не найден, Instagram создает новый элемент скрипта и устанавливает его источник на https://connect.facebook.net/en_US/pcm.js.
Затем он находит первый элемент скрипта на вашем веб-сайте, чтобы вставить PCM-файл JavaScript непосредственно перед
Instagram также ищет iframe на сайте, но информации о том, что он делает, найти не удалось.
Оттуда Краузе объясняет, что внедрение пользовательских сценариев на сторонние веб-сайты может, даже если нет доказательств, подтверждающих, что компания делает это, разрешить Meta отслеживать все взаимодействия с пользователем, такие как взаимодействие с каждой кнопкой и ссылкой, выбор текста, снимки экрана и все входные данные формы, такие как пароли, адреса и номера кредитных карт. Кроме того, нет возможности отключить пользовательский браузер, встроенный в рассматриваемые приложения.
После публикации этого открытия Мета отреагировала бы, заявив, что внедрение этого кода поможет добавить события, таких как онлайн-покупки, прежде чем они будут использованы для целевой рекламы и мер для платформы Facebook. Сообщается, что компания добавила, что «для покупок, совершенных через браузер приложения, мы запрашиваем согласие пользователя на сохранение платежной информации для целей автозаполнения».
Но для исследователя нет законной причины интегрировать браузер в мета-приложения и заставлять пользователей оставаться в этом браузере, когда они хотят просмотреть другие сайты, которые не имеют ничего общего с деятельностью фирмы.
Кроме того, эта практика внедрения кода на страницы других веб-сайтов будет создавать риски на нескольких уровнях:
- Конфиденциальность и аналитика. Хост-приложение может отслеживать буквально все, что происходит на веб-сайте, например каждое прикосновение, нажатие клавиши, поведение при прокрутке, какой контент копируется и вставляется, а также данные, просматриваемые как онлайн-покупки.
- Кража учетных данных пользователя, физических адресов, API-ключей и т. д.
- Объявления и рефералы. Хост-приложение может размещать рекламу на веб-сайте или переопределять ключ API рекламы, чтобы получать доход от хост-приложения, или переопределять все URL-адреса, чтобы включить реферальный код.
- Безопасность: браузеры потратили годы на оптимизацию безопасности работы пользователя в Интернете, например, отображая статус шифрования HTTPS, предупреждая пользователя о незашифрованных веб-сайтах и т. д.
- Внедрение дополнительного кода JavaScript на сторонний веб-сайт может вызвать проблемы, которые могут привести к поломке веб-сайта.
- Браузерные расширения и блокираторы пользовательского контента недоступны.
- Глубокие ссылки не работают в большинстве случаев.
- Часто бывает непросто поделиться ссылкой через другие платформы (например, по электронной почте, AirDrop и т. д.).
В конце концов Если вам интересно узнать об этом больше, вы можете проконсультироваться подробности по следующей ссылке.